É possível que um usuário mal-intencionado saia de / var / www?

Esse tipo de vulnerabilidade é chamado de "passagem de diretório".

Já faz muito tempo que o próprio Apache teve uma vulnerabilidade de passagem em si, mas parece que você está executando seu próprio código dentro do Apache; é aí que você precisa se concentrar em mitigar o risco, particularmente se você tiver código que carrega outros arquivos ou conteúdo do sistema de arquivos (o código de upload, por exemplo).

Você verá ocasionalmente entradas em seus registros de bots que fazem solicitações como /../../../etc/passwd , mas o Apache não dará a eles esse conteúdo (pelo menos não sem uma nova vulnerabilidade descoberta), então você só vai querer para ter certeza de que o mesmo se aplica ao seu próprio código.

suas permissões de arquivo devem ser 644 e os diretórios devem ser 755 . O único usuário com permissão deve ser www-data. Outros usuários só possuem permissões de leitura. No seu caso, parece bem.

Coloque uma varredura diária de clam-av e LMD no diretório raiz da web. Se você estiver usando qualquer estrutura interna, verifique a segurança com o site e sempre tenha as versões mais recentes dos aplicativos.

Para montar o diretório raiz da web, você deve colocar inotify em / var / www, assim você deve saber quais arquivos foram editados, criados e deletados no sistema de arquivos. A primeira etapa do hacker é colocar alguns arquivos na raiz da web e, em seguida, navegar no sistema de arquivos, portanto, você deve monitorar isso via inotify.

Sempre faça o backup diário dos arquivos antigos para que você possa comparar os arquivos, se forem editados recentemente na Web, por códigos maliciosos.

Todos os arquivos criados na pasta de imagens não devem ter permissão de execução e também verificar se o arquivo enviado é somente imagem, verifique também as extensões do arquivo.

Espero que ajude.