Fico preocupado com meus servidores web por causa desse tipo de problema.
Existe alguma maneira de prender o PHP para que ele rode somente no
diretorio onde ele se encontre ? Os meus usu�rios que tem pagina se eles
quiserem eles podem at� ver o conteudo do /etc/passwd por exemplo tem alguma
forma de contornar isso ? O que os grandes provedores fazem para minimizar
esse problemas relacionados a execu��o do PHP ?
Tenho certeza que muitos pequenos provedores tem essa "brecha" de seguran�a,
e seus administradores nem sabe disso.
Marco Aur�lio
> Acho q encontrei nosso "invasor". Era um script php que continha um
"exec(rm
> -rf $var)" e esta vari�vel $var estava vazia devido a um erro de l�gica.
> Assim o scrip tentou apagar todos os arquivos do / do site e conseguiu
> apenas nos arquivos q o usuario www tinha permiss�o. Conversei com o
> responsavel pelo programa e ele j� corrigiu isso.
> Pelo menos foi essa a explica��o q encontrei depois de procurar
> vulnerabilidades e falhas no servidor sem sucesso(ainda bem!)
> Valeu pela ajuda.
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
