PHPsuexec

[superwarp7]

Hola a todos, tengo una duda que ventajas hay en usar PHPsuexec ?

que es usar php en modo cgi ?



pura vida y gracias

[WebTech]

que es usar php en modo cgi ?

Significa que de la misma manera que manejas scripts CGI es como vas a manejar PHP de ahora en adelante

que ventajas hay en usar PHPsuexec ?

Las ventajas son que PHP suEXEC funciona de la misma manera que los scripts CGI y todos los scripts de tu sitio web seran ejecutados con el NOMBRE DE USUARIO a la cuenta que corresponden, en vez que el usuario "nobody" que es la forma en cual se ejecuta normalmente. Para que te sirve esto.. un ejemplo práctico, podría ser cuando envían spam desde formularios... si no usas PHPsuEXEC te volverás loco tratando de adivinar cual cuenta fue la que envio el spam, sin embargo, si usas PHPsuEXEC verás que usuario fue pues figura con el nombre real y no como "nobody"

Lo malo de PHPsuEXEC, es que te creará conflictos con algunos scripts ...

Saludos!

[mohakevin]

" Lo malo de PHPsuEXEC, es que te creará conflictos con algunos scripts "

Pero siempre se pueden apañar con un par de acciones/comandos.

Yo lo instalaría puesto que el rendimiento del servidor va a mejorar ... y mucho... Y si alguien te está dando por culo, lo cazaras fácil.

[Estrac]

pues yo no lo tenia activado ...
me pego un gusano hace unos dias, empezo a mandar bastantes, pero bastantes correos de spam como "nobody@midominio.com"

de hecho, llege a estar baneado en algunas black lists

encontre un bash.tgz en /tmp aunque ya aplique mod_security, php suexec etc..

aun no logro eliminarlo al 100% ya no se ni donde buscar

se genera uno cada 30 min o 1 hr

es importante usas esas herramientas :S

saludos !

estrac

[superwarp7]

Creo que tu problema no es causado por un script php, como dices que has activado phpsuexc y otros
te recomiendo activar en el whm la opcion de seguridad

'Prevent the user 'nobody' from sending out mail to remote addresses (php and cgi scripts generally run as nobody if you are not using phpsuexec and suexec respectively.)'

para tratar de parar el problema

ojo esto te puede causar problemas con formularios, algunos envian el correo como nobody

esta opcion te afecta si el correo es enviado hacia fuera de tu servidor.

[WebTech]

pues yo no lo tenia activado ...
encontre un bash.tgz en /tmp aunque ya aplique mod_security, php suexec etc..

aun no logro eliminarlo al 100% ya no se ni donde buscar

se genera uno cada 30 min o 1 hr

Usa buenas reglas para el mod security por ej algunas básicas:

Code:

 SecFilterSelective THE_REQUEST "wget "
SecFilterSelective THE_REQUEST "lynx "
SecFilterSelective THE_REQUEST "scp "
SecFilterSelective THE_REQUEST "ftp "
SecFilterSelective THE_REQUEST "cvs "
SecFilterSelective THE_REQUEST "rcp "
SecFilterSelective THE_REQUEST "curl "
SecFilterSelective THE_REQUEST "telnet "
SecFilterSelective THE_REQUEST "ssh "
SecFilterSelective THE_REQUEST "echo "
SecFilterSelective THE_REQUEST "links -dump "
SecFilterSelective THE_REQUEST "links -dump-charset "
SecFilterSelective THE_REQUEST "links -dump-width "
SecFilterSelective THE_REQUEST "links http:// "
SecFilterSelective THE_REQUEST "links ftp:// "
SecFilterSelective THE_REQUEST "links -source "
SecFilterSelective THE_REQUEST "mkdir "
SecFilterSelective THE_REQUEST "cd /tmp "
SecFilterSelective THE_REQUEST "cd /var/tmp "
SecFilterSelective THE_REQUEST "cd /etc/httpd/proxy "
SecFilterSelective THE_REQUEST "/config.php?v=1&DIR "
SecFilterSelective THE_REQUEST "&highlight=%2527%252E "
SecFilterSelective THE_REQUEST "changedir=%2Ftmp%2F.php "
SecFilterSelective THE_REQUEST "arta\.zip "
SecFilterSelective THE_REQUEST "cmd=cd\x20/var "
SecFilterSelective THE_REQUEST "HCL_path=http "
SecFilterSelective THE_REQUEST "clamav-partial "
SecFilterSelective THE_REQUEST "vi\.recover "
SecFilterSelective THE_REQUEST "netenberg "
SecFilterSelective THE_REQUEST "psybnc "
SecFilterSelective THE_REQUEST "fantastico_de_luxe "

y algo fundamental, securiza el directorio /tmp y /dev/shm, hay variadas guias sobre esto último, busca en estos foros o en www.webhostingtalk.com sobre "securing /tmp" .

Saludos.