2. 使用交流
  3. 如果开通的其中一个网站因为程序有问题,被上传了木马,是不是其它网站的文件全部可以被修改?

如果开通的其中一个网站因为程序有问题,被上传了木马,是不是其它网站的文件全部可以被修改?

zht 2019-1-16 692

如果开通的其中一个网站因为程序有问题,被上传了木马,是不是其它网站的文件全部可以被修改?
确实是这样的,如何解决这个问题啊?
实际上之前有人提过相关连接可见

收藏的用户(0 X
正在加载信息~
最新回复 (2)
  • zht 2019-1-16
    引用 2
    研究API文档,貌似可以设置每个站点的运行用户设置权限等操作来实现。不过貌似有点复杂,希望能帮简化操作
  • 虚竹 2019-1-16
    引用 3

    上传木马后,能修改其它网站文件的前提是:
    被上传木马的网站,和其它网站使用的是同一个运行用户,或者其它网站的目录权限被设置成了777(任何人可读写)

    也就是说,只要对不同的网站设置独立的运行用户,即使一个网站中招了,它也不可能有权限去修改另一个网站的文件。

    如何设置?
    站点设置 - PHP - PHP版本 - 运行池类型,设置为专用运行池。

    另外,【网站管理】中默认已经对PHP做了防跨站目录保护(open_basedir),限定了程序只能读取特定的目录,例如(SESSION目录、上传临时目录、日志目录、程序目录):

    /data/mystack/sites/bbs.appnode.com/php-pool/session/
/data/mystack/sites/bbs.appnode.com/php-pool/upload_tmp/
/data/mystack/sites/bbs.appnode.com/log/php/
/data/mystack/sites/bbs.appnode.com/www/


    同时,【网站管理】中也默认禁用了一些可能导致提权的函数,如:

    phpinfo, eval, passthru, exec, system, chroot, scandir, chgrp, chown, shell_exec, proc_open, proc_get_status, ini_alter, ini_alter, ini_restore, dl, openlog, syslog, readlink, symlink, popepassthru, stream_socket_server, fsocket

    上面这两项都可以在 PHP 安全设置中查看和修改。

    如果希望网站更加安全,你可以考虑将除上传目录以外的网站程序文件的所有者全部改为 root:root,这样即使上传了木马也无法修改 root 用户的文件。

返回
发新帖