Eu tenho um servidor web com o Apache ITK, configurado para um vhost específico para usar um nome de usuário específico em sua pasta. Agora, esse usuário é um proprietário dos arquivos, mas não possui permissões de gravação na pasta em questão; no entanto, ontem, o site foi comprometido e dois arquivos com permissão de gravação foram exibidos na pasta.
Minha pergunta é: como?
Entendo que, se um site for comprometido, muita coisa pode acontecer, mas o site ainda está sendo executado no contexto desse nome de usuário, que simplesmente não tinha permissão para gravar nenhum arquivo nessa pasta. Ou estou entendendo as permissões incorretamente?
Você está esquecendo a falha chave com o ITK ... O processo principal (que lida com todos os processos filhos) está sendo executado como root.
Se você pode atacar o Apache no início do processo, (em vez de um script php explorado), o hacker tem raiz. Kansas está indo tchau.
Eu não sou um especialista em segurança, mas o ITK parece uma grande responsabilidade em troca de uma configuração um pouco mais simples.