Lumber room
Comments 60
0
! УЖЕ ПОМОГЛО ! спасибо. Сижу на новой работе за проксей, а регулярно надо подмогнуть людям которые с ними занимаются.
0
putty у меня отлично работал через прокси... хотя, конечно, многое зевисит от политик на проксе...
0
Я дико извиняюсь, если вас не затруднит, вы не могли бы дополнить топик описанием функционала? Вы как человек пользующийся... а то просто совсем труба с временем( А если это то, что я думаю - о боже, вот оно счастье)
0
Основное назначение приложения - выполнение системных команд без доступа по ssh, использую стандартные функции php для этих целей.
+2
Издеваетесь, такое на http вешать?
А может лучше сразу выйти на улицу и написать на асфальте логин/пароль к серверу?
UFO landed and left these words here
0
Проблему решает защита .htaccess. Плюс сама софтина имеет встроенный механизм HTTP-авторизации.
0
это тоже самое, что и передавать какую-то секретную информацию через посыльного не голосом, а с помощью свёрнутой бумажки :)
0
К тому же, это временная вещь - вешается для определенных нужд девелопера/админа, после использования сразу же убирается.
0
Если вы не понимаете сути проблемы, а пытаетесь заверить что проблема отсутствует, то я помочь не могу.
0
Объясняю - информация в протоколе http передаётся в открытом виде и доступна для прослушивания на всех узлах по пути следования пакетов и даже более.
0
А что там особенного передается? Там нет никаких деталей доступа к серверу, команды выполняются от имени пользователя php, программа после использования удаляется.
Повторяю - она нужна НЕ для постоянного использования, а полезна как единовременный инструмент для разработчика/админа для быстрого решения проблем.
-2
Вот пока админ быстро решает проблему кто-то быстро порутит сервер - ничего серьёзного.
UFO landed and left these words here
0
Пароль придумываете сами, и прописываете в конфиге. Это тот пароль, который софтина сама спросит для HTTP-авторизации.
0
Например, удобно совершать какие-то действия, которые трудно/невозможно сделать по FTP, например:
- chmod большого колличества файлов
- архивация файлов для последующего скачивания/закачивания
- работа с БД
Это только небольшая часть.
0
ясно, но почему тогда не соединяются обычным telnet соединением без всяких секьюрных надстроек?
0
Вы наверное немного меня не поняли. Эта программа не использует никаких ssh ни telnet. Она использует стандартные функции php (exec(), system() и т.п.) для работы с командной строкой сервера.
Программа полезна тогда, когда провайдер (хостер) не дает ssh/telnet доступ к серверу. Этот софт позволяет упростить работу в таких случаях. В остальных случаях ssh предостаточно.
0
куда б не ставили этот скрипт, но если хостер не даёт https, то грош-цена всему.
механизм http-авторизации передаёт логин-пароль всё тем же открытым способом. и чтобы он каждый раз не гонял по сети: пароль или id сессии, он всё равно передаёт это открыто.
0
Вы немного не поняли суть программы. Или Вы немного не в теме. Давайте прекратим этот бессмысленный спор.
Те, кому нужно, знают как всем этим воспользоваться.
0
суть скрипта я понял хорошо: простенькая эмуляция коммандной строки. просто секьюрность на грани фола.
и жаль, что в консольке нет обычной аутентификации (не HTTP, потому что у меня php работает через fcgi и он не поддерживает такой свособ)
0
понимаете, я клоню к тому, что если уж утилитка настолько открыта для взлома, то хотя бы нужно было вести лог всех действий + всемя и IP клиента, дабы была надежда восстановить данные и наказать злоумышленника.
+1
Хм, это немного не в тему, я думаю стоит отложить в сторону жезл Понтониум ^_^
Просто у человека еще никто не угонял пароль сниффером.
0
я к этому и клоню. как-минимум консолька должна ограничивать работу только в docroot'e.
0
Снифером вы можете "угнать" временный пароль, который действует час. Да есть шанс что этот пароль отловят и в течении часа вас и заломают и вообще натворят всяких бед, но реально - это всё равно гораздо безопаснее чем telnet...
0
человек, возспользовавшийся такой утилитой, вряд ли задумывается о безопасности и вряд ли даже догадается, что угнали его пароль.
UFO landed and left these words here
+1
ааа да нужная вещь... гы гы типа нашел sql-injection, зашел в админку, залил на хост и всё в порядке ))) поубивал бы.
0
а что конкретно не понятно? такие вот творения идеальный инструмент для злоумышленников.
Почему?
возмём для примера такой код:

$page = $_GET['page'];
$query = "SELECT * FROM pages WHERE page_id = $page";

кто такой код пишет это другой вопрос, но такого кода достаточно много уж поверьте.
Используя некоректное значение для $page можно составить запрос который будет брать значение из другой таблицы. Например users :)

далее используя эти данные злоумышленник может получить доступ к сайту как существующий пользователь, в том числе и как администратор.

После чего злоумышленник обычно ищет возможность загрузки на сайт например через image-uploader в каком-нибудь wyswyg редакторе где не делается проверка на расширение файла и заливает он обычно не что-нибуль а именно подобные изделия, что это ему дает я думаю понятно и именно по причине того что людей которые пишут запросы так, как указанно выше очень много я категорически против таких поделок.
0
мускль можно таким образом заставить выполнять коммандную строку или загрузить вредоносный скрипт на сервер.
0
так я к тому и клоню, что быдлокодер делает супер-сайт за 200 баксов, и начинается.
При помощи таких вот программок получается что от очередного куль-хацкера летит к черту не только сам супер-сайт, но и все остальное что лежит на этом серваке.
Соответственно нормальные люди такой софт использовать не будут, потому что осознают чем это грозит, а использовать его будут эти самые мега-супер-хацкеры.
И зачем спрашивается нужен такой софт??
0
Не вините "подобные изделия". system($_GET['cmd']); никто не отменял, так что даже "очередной куль-хацкер" наделает делов.

Я, вот, юзаю подобный софт, ибо не всегда хостер дает шелл доступ...
0
таких хостеров избегать надо, потому что заведомо не заботятся о секьюрности хостящихся сайтов.
0
Ну это бабушка надвое сказала. Если у хостера сервер в chroot-jail и работает строго из-под пользователя php, то ещё отдельно настраивать туда ssh-доступ - непростое занятие.

Опять-таки представьте какую-нибудь вещь типа Amazon EC2 или Google Apps Engine. Там просто некуда делать ssh!

Если вы не сталкивались со сложными конфигурациями хостинга, когда ssh разрешать непрактично - то это ещё не значит что вы знаете как устроен мир...
0
вы можете сколько угодно оправдывать хостера, но он элементарно не уважает клиентов, подставляя их своей дырявой безопасностью. Клиент, в свою очередь, подставляет хостера и других клиентов хостинга устанавливая вот такие утилиты.

но тот же Google Apps не даст вам залезть дальше положеного, ага.
0
ага и соответственно сейчас надо плодить софт с заренее известными костылями :)
0
я не ктому что надо так писать, я к тому что не считаю это ошибкой которая в данный момет приведт к взлому сайта.
0
считать можете как хотите, но количество взломанных сайтов через подобные вещи от этого меньше не становится :)
0
Если по ssl и прикрыть .htaccess-ом, то почему бы и нет, хотя ssh есть почти всегда, там где позволено выполнять серьезные действия в командной строке.
0
с хостером клиента, у которого до сих пор сейф мод с запрещёнными функциями выполнения внешних комманд, совершенно неюзабельным плеском даже этот скрипт не спасёт. приходится делать всё вручную, даже архив не распакуешь :(
Only those users with full accounts are able to leave comments., please.