Ochrana cronu

sagto · 2011-06-28 10:37:28

Jde nějak ochránit cron tak, aby ho nemohl nikdo spustit skrze prohlížeč? Děkuji za odpověď.

JF · 2011-06-28 10:54:22

napr podľa IP, zisti si z akej pristupuje cron a daj podmienku do skriptu php že sa vykoná len vtedy ak je prístup z definovanej adresy

sagto · 2011-06-28 10:56:02

To mě napadlo, ale adresa je proměnlivá. Jde třeba zjistit, jestli to spustil server?

berkas1 · 2011-06-28 12:52:22

nebo by to šlo nějakým hashem v adrese (doufám že mám pravdu ) - jako to má Drupal 7

JF · 2011-06-28 13:56:38

to je tiež pravda, kto z ľudí by poznal nejakú premennú ktorú na ten skript posiela majiteľ ;o)

sagto · 2011-07-04 20:31:47

Je tady někdo, kdo ví jak ochránit cron? Podle ip to nejde, protože mi to info serveru nevyhodí. Hash je dosti obtížný název a když na něj přijdou, tak stejně ho spustí.

JF · 2011-07-04 21:06:14

A kto príde na nejaký hash? napr keď spustím cron na súbor mojadomena.sk/cron.php?hash=ewf5dwe54ad54fc4sad7awddf4 som veľmi zvedaví kto by prišiel na ten dlhý nezmysel písmen a čísel

Darker · 2011-07-06 16:09:50

IP adresa serveru je $_SERVER['SERVER_ADDR'].
IP adresu zařízení, které spouští crone zjistíš tak, že budeš ukládat $_SERVER[REMOTE_ADDR] do souboru. Podle mě se s IP serveru shodovat nebude. Kontrola je to dostatečná.
Při tom kouzle s hashem jste opoměli možnost, že někdo dočasně nahlédne do administrace.

Darker · 2011-07-06 16:33:23

IP cronu je 88.86.120.114.

Server napsal:

[SCRIPT_URL] => skript.php
[SCRIPT_URI] => http://domena.cz/skript.php
[HTTP_USER_AGENT] => Wget/1.11.4 Red Hat modified
[HTTP_ACCEPT] => */*
[HTTP_HOST] => domena.cz
[HTTP_CONNECTION] => Keep-Alive
[PATH] => /sbin:/usr/sbin:/bin:/usr/bin
[SERVER_SIGNATURE] => <address>Apache/2.2.3 (CentOS) Server at domena.cz Port 80</address>
[SERVER_SOFTWARE] => Apache/2.2.3 (CentOS)
[SERVER_NAME] => domena.cz
[SERVER_ADDR] => **.**.***.***
[SERVER_PORT] => 80
[REMOTE_ADDR] => 88.86.120.114
[DOCUMENT_ROOT] => /home/users/darker/domena.cz/web/
[SERVER_ADMIN] => <a href="mailto:root@endora.cz">root@endora.cz</a>
[SCRIPT_FILENAME] => /home/users/darker/domena.cz/web/skript.php
[REMOTE_PORT] => 47245
[GATEWAY_INTERFACE] => CGI/1.1
[SERVER_PROTOCOL] => HTTP/1.0
[REQUEST_METHOD] => GET
[REQUEST_URI] => skript.php
[SCRIPT_NAME] => skript.php
[PHP_SELF] => skript.php
[REQUEST_TIME] => 1309962302

JF · 2011-07-06 21:21:03

No tak keď už niekto kukne do administrácie tak môže rovno zmazať doménu a nie sa búrať do cronu ;o)

Darker · 2011-07-07 22:07:56

JF napsal:

No tak keď už niekto kukne do administrácie tak môže rovno zmazať doménu a nie sa búrať do cronu ;o)

Jenže ne každý to udělá. Když jsem hacknul web, nesmazal jsem ho ani nijak nenarušil v provozu jen jsem jim tam udělal tiskařského šotka.
Krom toho moje odpověď byla odpovědí na původní otázku tazatele.

JF · 2011-07-08 10:31:44

Veru, aspoň vieme že tu niekoho takého máme kto sa nabúrava do účtov, keď bude ďalšia sťažnosť tak vieme kde hľadať

No i keď niekomu sa tam dostať nieje problém keď veľa ľudí používa buď rovnaké heslo ako nick prípadne takéto slová: heslo, 123456, laska, opica, osol, mobil a podobné možno by bolo dobré zvýšiť bezpečnosť hesla, lebo kto prelomí niečo takéto: S0mN@j51k0vn3j51

Darker · 2011-07-08 13:57:46

JF napsal:

No i keď niekomu sa tam dostať nieje problém keď veľa ľudí používa buď rovnaké heslo ako nick prípadne takéto slová: heslo, 123456, laska, opica, osol, mobil a podobné možno by bolo dobré zvýšiť bezpečnosť hesla, lebo kto prelomí niečo takéto: S0mN@j51k0vn3j51

Kontrola nerovnosti mezi heslem a jménem, popř. heslem a emailem a podobně bývá už docela běžná věc.

Rád bych podotkl, že jsem neříkal že se "nabourávám do účtů", ale že jsem hackl web, což není to samé: přes žádná hesla jsem nešel.

JF · 2011-07-08 14:41:47

No to je pravda že napr php-fusion má zadné dvierka

Darker · 2011-07-08 14:45:48

To co jsem naboural bylo horší. Nevím jak se ten systém jmenoval (podepsal jsem se tam a už jsem se nevracel) ale měl zadní vrata s nápisem "Tudy prosím."

JF · 2011-07-08 14:47:51

To je tak keď ľudia používajú neoverené veci. Napr o Joomle som nepočul že by mala zadné dvierka a keby má a niekto ich objaví tak by s toho tvorcovia boli nešťastný, najme s tých sťažností

jakub.007 · 2011-07-17 11:04:25

Také bych rád využil služeb CRONU, ale na webu mám http autentizaci pomocí .htaccess souboru

AuthUserFile /home/users/jakub/mat.g6.cz/web/.htpasswd
AuthType Basic
AuthName "MAT"
Require valid-user

kvůli které to nefunguje (zkoušel jsem vypnout, potom ok), neví někdo co by se s tím dalo dělat?

JF · 2011-07-17 14:17:34

Odomknúť web lebo takto porušuje podmienky tým že nezobrazuje reklamnú pätičku ktorá je podmienkou.

#1 2011-06-28 10:37:28

Re: Ochrana cronu

#2 2011-06-28 10:54:22

Re: Ochrana cronu

#3 2011-06-28 10:56:02

Re: Ochrana cronu

#4 2011-06-28 12:52:22

Re: Ochrana cronu

#5 2011-06-28 13:56:38

Re: Ochrana cronu

#6 2011-07-04 20:31:47

Re: Ochrana cronu

#7 2011-07-04 21:06:14

Re: Ochrana cronu

#8 2011-07-06 16:09:50

Re: Ochrana cronu

#9 2011-07-06 16:33:23

Re: Ochrana cronu

#10 2011-07-06 21:21:03

Re: Ochrana cronu

#11 2011-07-07 22:07:56

Re: Ochrana cronu

#12 2011-07-08 10:31:44

Re: Ochrana cronu

#13 2011-07-08 13:57:46

Re: Ochrana cronu

#14 2011-07-08 14:41:47

Re: Ochrana cronu

#15 2011-07-08 14:45:48

Re: Ochrana cronu

#16 2011-07-08 14:47:51

Re: Ochrana cronu

#17 2011-07-17 11:04:25

Re: Ochrana cronu

#18 2011-07-17 14:17:34

Re: Ochrana cronu

Zápatí