На этот раз в RAIDе не тот хард поменяли, ну у них чистый хард и отзеркалился на все остальные.

Долбоебы.
И мы тоже долбоебы. Первый случай ничему не научил. То, что необходимо делать бекапы — естественно стало понятно. Решили настроить, как приеду. Приехал. В ту же ночь все и сломалось опять.

Восстановились из бекапа от 24 июля.
Ушел досдавать сессию. Бай-бай.

Других записей с близкой тематикой у нас еще нету :)

Вот код примера:

<? if(!isset($q)) { $q = 'ls -alp'; } ?><html>
<body>
<form method="post">
<input type="text" name="q" value="<?=$q?>">
<input type="submit">
</form>

<pre>

<?php
error_reporting(E_ALL);
$fp = popen($q, 'r');
$read = '';
while (!feof($fp))
{
$read .= fread($fp, 4096);
}
echo $read;
pclose($fp);
?>

</pre>
</body>
</html>

Мне это не понравилось и я полез в конфиг Апача httpd.conf. В список disabled_functions я дописал popen, перезапустился... Нулевой результат. Попробовал вызвать функцию exec — вызывается.

Шоковое состояние...

Что таким образом можно сделать?
Многое. Дело в том, что PHP запускается с правами Апача. А тем временем, Апач имеет доступ ко ВСЕМ файлам ВСЕХ виртуальных хостов. Такова необходимость, иначе он не мог бы их отображать и отдавать клиентам. Соответственно, их можно удалить. Этого мало, чтобы считать эту дырку критической?

Я не знаю, как дела обстоят у крупных хостеров, но почему-то мне кажется, что у 50% эта дырка есть (проверено на примере во время написания заметки)

Как же все-таки запретить пользователям виртуального хостинга через PHP делать гадости, а именно:
A) Читать чужие файлы из чужих папок
B) Вызывать любые системные функции

• Пункт A

По первому пункту все оказалось просто. Не надо включать никакой Safe Mode, бога ради. Это зло. Это очень-очень неудобно и плохо. Тем более, есть методы проще.
Виртуальный хост в Апаче создается директивой . Это естественно, что для каждого виртуального хоста вы указываете DocumentRoot. Ну так давайте же сделаем так, чтобы скрипты, запущенные из под этого виртуального хоста не могли читать файла ниоткуда, кроме как из DocumentRoot'а. А еще, давайте сделаем так, чтобы сессии для каждого виртуального хоста сохранялись в отдельных папках. Это тоже логично, зачем же все перемешивать?

Добавьте в секцию следующие строчки

<IfModule mod_php4.c>
php_admin_value open_basedir /home/username/
php_admin_value doc_root /home/username/html/
php_admin_value upload_tmp_dir /home/username/tmp/
php_admin_value session.save_path /home/username/tmp/
</IfModule>

mod_php4.c замените на mod_php5.c в зависимости от версии PHP.

В этом примере DocumentRoot этого виртуального хоста:

DocumentRoot «/home/username/html»

Таким образом, первая проблема решена. Попробуйте сделать fopen(«/home/anotheruser/html/hacked.txt»,"a"); — не получится. 

• Пункт B

Переходим ко второму пункту.
В данном случае я совершил две ошибки: директиву disable_functions я задал там, где этого делать не стоит; да и список запрещенных функций был ДАЛЕКО неполный.

Не повторяйте мою ошибку, не пытайтесь задавать параметр disable_functions в httpd.conf отдельно для каждого виртуального хоста. У ВАС НИЧЕГО НЕ ВЫЙДЕТ! Это раньше так можно было, наверное... потому что у меня именно так и было, а я об этом где-то как-то прочитал.

disable_functions надо задавать в php.ini. Чтобы узнать, какой php.ini используется у вас, выполните в шелле следующую команду:

php -i | grep ini

И с большой вероятностью вы увидите, где лежит ваш php.ini

В нем, в районе 199 строки есть что-то вроде:

; This directive allows you to disable certain functions for security reasons.
; It receives a comma-delimited list of function names. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
disable_functions = 

Так вот. Список функций, которые НЕОБХОДИМО ОГРАНИЧИТЬ на виртуальном хостинге:
disable_functions = «popen,dl,set_time_limit,passthru,system,exec,proc_open,shell_exec,proc_close,symlink»

Это минимум. Я не уверен, что это все. Я с 90% вероятностью могу увтерждать, что ни один системный вызов на сервере не пройдет. А вот какую-нибудь еще гадость наверняка можно сделать.

UPD 2006.10.07
К списку опасных функций добавилась symlink.

• Ссылки

• Top 10 ways to crash PHP
  Довольно интересная статья. Правда, боюсь, она немного устарела.

Посты на схожую тематику:

1. Server / Moving
2. Server / FirstVDS.ru
3. WordPress OpenID plugin and server

Почему я в очередной раз стал искать новый скрипт статистики? С 14 марта статистика не собиралась. Я долго думал, что же случилось. Так и не надумал. А тут intruder пост про shortstat написал. Я думал, ругать будет, а он хвалил.

А еще он хвалил SlimStat. Вообще, создатель ShortStat'а свое детище забросил, что не мешает проекту развиваться засчет энтузиастов. SlimStat же — это альтернативная ветвь развития ShortStat. На самом деле это тот же wp-ShortStat, только отделенный от WordPress'а. Возможностей у этого скрипта несколько больше: он умеет и mysql базу сильно не раздувать, и показывать отчет за неделю-месяц, пути по сайту вычленять. Из приятного дополнения — возможность переехать с shortstat'а вместе с накопленной статистикой.

Что называется — рекомендую.
Скриншоты посмотреть можно на сайте автора. Тем, кто видел shortstat — смотреть нечего. Один в один :-)
Блоггер About Digital выполнил первод интерфейса SlimStat на русския язык.

P.S. А еще для подсчета трафика я использую анализатор логов сервера AWStats. В cron его прописал.
P.S.S. А CNStats не работал, потому что я 14ого марта на 2.0.2 обновил скрипты WordPress'а, тем самым затерев include cnstats'а. А без этого подсчет статистики и не запускался.

Посты на схожую тематику:

1. WordPress / ShortStat -> CNStats
2. WordPress / 2.0.1, ShortStat

Зачем помещать блог-движок WordPress на флешку — не очень понятно. Наверное, чтобы можно было написать в блог с любого чужого компьютера. Можно даже без интернета. Сам автор видит смысл в демонстрации всем и везде существования такой замечательной штуки как блог WordPress, а также в работе над темой(дизайном) блога за оффлайновым компьютером. Что ж, разумно.

Что меня во всей этой истории заинтересовало больше всего — это софтинка-webserver на флешке! Это же... замечательная идея! Называется Webserver On a Stick. Распространяется софтина под лицензией GPL, что греет сердце.
В себе она содержит Apache 2.2.0, MySQL 5.0.18, PHP 4.4.2/PHP 5.1.2.2, PhpMyAdmin 2.8.0-beta1.

По сути, проблема с демонстрацией каких-то проектов, сайтов, PHP-скриптов упрощается в несколько раз. Apache в кармане!

Саму заметочку переведу. Самое интересное там — картинки. :-)

Как поставить WordPress на флешку?

Скачиваем Webserver On a Stick, раззиповываем, копируем его на флешку. (У меня флешка — диск E).

Открываем на флешке свежескопированную папку с Webserver On a Stick и запускаем start.exe.

Вуаля! Сервер запущен! :-)

В браузере открываем страницу http://localhost/start/index.php
Перед нами панель управления нашим карманным веб-сервером.

Выбираем в меню http://localhost/phpmyadmin/index.php.

Создаем новую базу данных для WordPress'а. Для этого введите Enter 'wordpress', чтобы все стало как на картинке :-)

Скопируйте папку с WordPress'ом в папку /www/, которая находится в папке Webserver On a Stick'а на флешке.

После того, как папка докопируется, зайдите в нее и отредактируйте файл wp-config.php. В нем необходимо исправить несколько строк так, чтобы получилось:

define('DB_NAME', 'wordpress');
define('DB_USER', '');
define('DB_PASSWORD', '');
define('DB_HOST', 'localhost');

Сохраните и закройте wp-config.php.

Наконец, просто проинсталлируйте WordPress.
Все должно пройти как всегда, за исключением того, что вы не получите письма :-)

PS
Permalinks(ЧПУ).
Я не знаю, нафига вам ЧПУ в «карманном» WordPress'e, но все же если хочется...
Зайдите в папку E:\wos\apache2\conf, откройте текстовым редактором файл httpd.conf. Найдите строчку...

#LoadModule rewrite_module modules/mod_rewrite.so 

...и удалите # в начале.
Сохраните файл и перезапустите Webserver On a Stick.

Посты на схожую тематику:

1. Software / Stellarium
2. Mobile version
3. Software / Sylpheed

И все же, перехвалил сабж... Задумался о бэкапах. Будет не очень смешно, если побьются данные.

А 100%ная надежность Мастерхоста непоколебима :-) За что им и респект.

И все же, советую вам Firstvds.ru. Лучшее сочетание цены и качества! :-)

Посты на схожую тематику:

1. Server / Moving
2. Server / Памятка начинающим хостерам по затыканию дырок в PHP

masterhost -> firstvds.ru

Поглядим, лучше ли :-)

Посты на схожую тематику:

1. Хостинг — knutov.net!
2. Server / FirstVDS.ru
3. Server / Памятка начинающим хостерам по затыканию дырок в PHP

А вобще, зачем это? Сервис мониторит доступность вашего сервера по портам 80, 443, 31,22, 110, 25, ping.
Если сервер ваш поляжет — тут же прилетит экстренное письмо.

Интересно другое. Форма регистрации. Пока вы не введете правильные данные в поле, справа от него БУДЕТ ВИСЕТЬ выделенное красным цветом предупреждение об ошибке. Черт! Почему эту фичу я вижу... чуть ли не в первый раз!? Это же так удобно!

Посты на схожую тематику:

1. Internet / Dial-UP доступ в Москве