Мои сайты на Drupal показывают содержимое / sites / default и всех других папок ниже / sites

Question

У меня есть проблема, которая может быть чем-то простым, но я не могу обойти ее сейчас. У меня есть несколько сайтов, размещенных на моем виртуальном сервере Ubuntu 10.04LTS, и на всех них (Drupal 6) я могу перейти непосредственно в любую папку ниже (включая) / sites (включая каталог модулей).

[edit] Я только что понял, что могу перейти в ЛЮБУЮ папку - т.е. / также включает в себя ... [/ edit]

Я не помню, чтобы это было нормальным явлением, и, несомненно, это риск для безопасности, который я могу получить в папке / sites / default - хотя я могу быть просто параноиком.

Может ли кто-нибудь подтвердить, нормально ли это, и если нет, указать, в чем причина моей проблемы?

Приветствия

Steve

Answer 1

Вы не параноик, вы правы, если открыт ваш каталог / sites / default, так же как и ваш файл settings.php, который содержит информацию о вашем подключении к базе данных (хост, имя пользователя, пароль). Так как у пользователя mysql, который вы должны создать для Drupal, есть разрешения для DROP TABLE, раскрытие вашей базы данных не только означает, что проникновение может отображать данные, но также позволяет зараженному уничтожить вашу базу данных.

Answer 2

Я нашел проблему - она ​​была двоякой:

Во-первых, по некоторым причинам мои файлы .htaccess (сгенерированные Drupal) отсутствовали на некоторых сайтах (я думаю, что это могла быть проблема с правами доступа для пользователя root).папка для сайтов, о которых идет речь).

Во-вторых, у меня было хитрое правило в файлах конфигурации для каждого сайта, в любом случае переопределяющего файл .htaccess, - которое научит меня копировать-вставлять из Интернета.blog ... нашел правильный макет для раздела mod_rewrite на самом сайте Drupal.

Это было странное и заняло немного поиска, но теперь оно отсортировано