chris14
New Member
Hi, hab ein Testsystem aufgesetzt wo php als fastcgi läuft. Dadurch soll die Webseite vom Server besser isoliert werden. Allerdings habe ich ein paar Fragen zu den Rechten.
Server: debian 6 / plesk 10
Webseite: Wordpress 3.4
Folgende Rechte habe ich vergeben (müssen) das es richtig läuft.
PHP Dateien kommen mit den Rechten 400 aus.
Alle anderen Dateien wie .htaccess oder Bilder brauchen 404
Verzeichnisse brauchen 505
Wenn nun ein Angreifer es schafft eine PHP Shell z.B. ins Uploadverzeichnis zu kopieren, hat er eigentlich keine Rechte Dateien zu bearbeiten oder Dateien in einem anderen Verzeichnis zu platzieren.
Ich hab verschiedene Shell's hochgeladen und es ausprobiert.
Allerdings hat die Shell die Rechte des Benutzers. Der Angreifer kann also mittels chmod einfach alles beschreibbar machen und seine Code verstecken wo er will, oder auch alles löschen.
Wie könnte man das Problem lösen?
Gruß Chris
Server: debian 6 / plesk 10
Webseite: Wordpress 3.4
Folgende Rechte habe ich vergeben (müssen) das es richtig läuft.
PHP Dateien kommen mit den Rechten 400 aus.
Alle anderen Dateien wie .htaccess oder Bilder brauchen 404
Verzeichnisse brauchen 505
Wenn nun ein Angreifer es schafft eine PHP Shell z.B. ins Uploadverzeichnis zu kopieren, hat er eigentlich keine Rechte Dateien zu bearbeiten oder Dateien in einem anderen Verzeichnis zu platzieren.
Ich hab verschiedene Shell's hochgeladen und es ausprobiert.
Allerdings hat die Shell die Rechte des Benutzers. Der Angreifer kann also mittels chmod einfach alles beschreibbar machen und seine Code verstecken wo er will, oder auch alles löschen.
Wie könnte man das Problem lösen?
Gruß Chris
