私が管理しているCMSはTinyMCEを使用して、ユーザーがブログ投稿を作成できるようにします。 TinyMCEにはイメージアップローダがあります。最近、ここ数ヶ月のように、イメージアップローダは完全な書き込みアクセス権を持ち、私たちのサーバーに画像をアップロードし始めました。
昨日、このようにアップロードされたいくつかのマルウェアが見つかりました。
開発者の場所は次のとおりです。マネージャーの目視(アップローダプラグインを作成した人)は、このプラグインは純粋なJavaScriptで実行され、デフォルトのPHP機能を使用し、PHPユーザー(この場合はApache)が設定した権限を継承する以外には何もしないと述べました。
もしそうなら、ファイルが777の権限を受け取り始める原因は何ですか?ファイルアップロード数は755個、画像アップロード数は644個です。
サーバーはApache、オペレーティングシステムはUbuntuです。 CMSはCakePHPに基づいています。
答え1
- /etc/apache2/envvarsでumaskをチェックしてください。
grep -Ri 'umask('
関連するPHPファイルを見て、出力を確認してください。
追加情報を提供できる場合は、他のオプションがあります。