Citat:
Ursprungligen postat av
NineLightsOut
www-data är en grupp och ingen användare. Man kan givetvis skapa en användare som heter det med, men www-data är en standardgrupp som följt med apache -ja. De användare jag har är twister - inlogget till serverdatorn och root, så om man ska hacka sig in via ftp exempelvis så är det via twister eller root.
Dessutom kan man väl inte hacka hemkatalogen eftersom chmod 777 -R bara gäller projektmappen och dess undermappar? du får gärna utveckla.
I många distar heter användaren som apache körs som www-data, men det var som sagt ett exempel, och den specifika identiteten är oviktig.
Sedan läste jag fel på rubriken, och tyckte det stod hemkatalogen. Men korrekt, då är det filerna i projektkatalogen som ligger i riskzonen. Filer kan trojaniseras, och inloggningsuppgifter i källkods- och konfigurationsfiler kan läsas. Dessa kan sedan eventuellt användas för vidare intrång.