Гм. Мне было бы очень интересно, если вы обратитесь в полицию, как это произойдет (ну интерес не праздный, ибо постоянно приходится бороться с DDoS, попытками взломов и т.п.).

или купить свою AS и анонсириовать ее в США по bgp.

А тем, что прикидываясь обычным юзером из-под тишка советуют свои компании, занимаясь грязным пиаром, я бы отрывал кое-чего.

1. Беслатные хостинги, как и любые другие делаются для извлечения прибыли.
2. У нас нет безопасного режима php
3. Вышеуказанная ошибка не может возникнуть по причине отсутствия openbasedir
4. На бесплатном хостинге доступны postgresql, rubyonrails, cgi в полном режиме
5. Настройка точно такая же, как и для платного хостинга, один в один.
6. php 5.3.6 и mysql 5.5.11 опять же на бесплатном хостинге (вы такое где-то видели?)
7. Полнофункциональный ISPManager со всеми примочками которые возможны в данном случае
8. Поддержка через тикет-систему

А при чем тут безопасность?

Да нет, дорогой вы наш. Дайте-ка конструктивной критики?

"RxB" wrote:

Смысл ответа такой, что используя бесплатные хостинги для друпала, кроме гемороя вы ничего не обретаете, какие бы мотивы использования бесплатного хостинга не были бы

Кто ж вас так жестоко обманул - то...

Вообще попробуйте мне написать в ICQ 408108152, думаю, вопрос получится расшевелить быстрее, а то между постами на форуме сутки проходят.

З.Ы. Пароли все поменяли? Не должно ни одного такого же остаться после таких взломов.

Не придется. Файлы двига все на месте? Делали полный реинсталл сервера? Загрузки безопасные включены? Какие стоят права на папки с временными файлами и папки загрузок? .htaccess все на месте? Если не делали полный реинсталл сервера - у вас шелл или руткит в системе. В противном случае нужно логи апача смотреть на предмет XSS в первую очередь. Так же права на файл конфига - 440?

Гм. Перечитал документацию по mod MIME. Это не баг, это фича. Т.е. файл с двойным расширением интерпретируется как каждое из них.

yum -y install php httpd mysql mysql-server php-mbstring php-mysql php-zts nano bind

nano /etc/sysconfig/httpd

Раскомментируем строку HTTPD=/usr/sbin/httpd.worker

Создаем юзверя:

useradd -d /var/www/username username

passwd username

Собственно, осталось добавить виртуалхосты в апач и настроить bind. В апач нужно добавить таким образом:

Баг апача. Он ищет в имени файла ".php", если находит - выполняет. Надо писать багрепорт разработчикам.

Настройка apache+php как модуль для классического хостинга неприменима впринципе, это можно сделать безопасным, но с помощью кучи ухищрений, как то suhosin, openbasedir, запрет некоторых инструкций.

У вас очень слабый VDS. Да, php-cgi кушает больше процессорного времени, однако, экономит память и очень сильно. Значит вам нужно подключить php-zts (этот модуль подключается именно в режиме worker апача, так как mod_php в этом случае работает не стабильно). Вообще в /etc/conf.d/php.conf уже все сделано. В вашем случае нужно корректно прописать виртуалхост в апаче и применить ограничения openbasedir. Хотя, в данном случае я бы использовал mpm-itk и php-cli, это даст запуск и выполнение скриптов от имени пользователя, а не от апача.

Счас напишу в трех словах, прошу прощения, закрутился.

http://hostace.ru/host-for-free попробуйте.

Завтра сделаю ман.

под какую ОС ман писать?

Ну если нужно, я могу описать как все поставить руками... Но лучше взять и поставить на vds тот же webmin в вашем случае.

>> все файлы движка и модулей принадлежат root

все... Только реформат. Боюсь, 300 долларов на аудит у вас нет. Вы пренебрегли основами безопасности сервера...

А в друпале используют requre вместо require_once?

Белый экран это ошибка в php. пропишите display_errors on

Вам необходимо проверить error_log и/или включить вывод ошибок в браузер (либо в лог). Это классический WSOD друпала, скорее всего, хостинг не подходит под требования (php_memory_limit слишком маленький). Радикальный метод - смена провайдера, наименее радикальный - запрос в службу технчиеской поддержки на предмет своего php.ini, проверка логов веб-сервера. Кроме того, в некоторых случаях возможно скомпилировать свой php, однако, это не всегда возможно (зависит от конфигурации хостинга).

Вам загружают сплойт. Включите безопасные загрузки. Ваш веб-сервер сконфигурирован не корректно. На сайт загружается jpg или img с php-кодом внутри, этот код потом выполняется. Я бы рекомендовал провериться на наличие шелла, а так же перезалить все файлы движка и модулей. Кроме того, для большей безопасности рекомендую перевести php в режим cgi, а так же корректно расставить права доступа.