Shared hosting na cpanelu ne radi tako. Svaki nalog je je jedan user. Useri ne mogu citat i posat podatke drugih usera.
Ako mogu onda server nije pravilno podesen i treba bjezat od takvog hosta.
Ako je sve na cpanel addon domenama onda je to sve jedan user i normalno je da se svemu ima pristup na tom nalogu.
Edit:
U stvari posto si rekao folderima onda si u pravu, kuga se moze siriti po svim folderima tog usera
Uzeo bi jaci stroj na digital oceanu i slozio sve u dockere, jedan projekt jedan docker.
Moze svatko naravno, ali nema potrebe nagadjat oko takvih stvari.
Napravio sam noobie projekt, stavio ga sa zaštitom na folderu i pratim.
Pošto znam da unutar svježeg noobie projekta sigurno nemam maliciozni code …te ako se nešto pojavi unutra, onda je očigledno da server ima propuste. U suprotnom sve se širi “legitimno” jer nitko nije ni zaključao vrata. A izvor kuge je najvjerovatnije neki od WP site-ova.
Nakon što se postave pravilno zaštite na svaki projekt, onda će se odati i izvori kuge, zato jer će se unutar njih najezditi kuga, dok u ostalim projektima neće.
Sirac kuge nije user vec superuser. I nije toliko ni problem u serveru vec u malicioznim codovima koji dozvoljavaju propuste. Badava tebi antivirusni, firewalovi, ovaj oni softwer koji te stiti od kuge ako ti sam instaliras maliciozni code i pokrenes ga.
@bozoou
Nemozes znati dali se kuga siri 100% osim ako cekas, ponekad kuga miruje mjesec dana, ponekad pola godine, neke se sire samo na odredjeni datum, sve ovisi o tome koliko veliki troll je kreator. I to je kao sto kazes vjerojatno WP site donio, neki lik instalirao neki plugin koji je shebao server. A ako se kuga siri po WP sitevima onda i nije tak strasno ako nemas WP, ali ako imas WP i prosirilo se na tvoje projekte onda je to vec strasno.
Te kuge rade na bazi spidera, napravi ga i pusti da crawla i svi sitevi su hakirani automatski, kugac niti nezna a niti ga interesira koje siteve je shebo. S jedne strane ga podrzavam, jer kao sto si ti u prijasnjem postu napisao on moze brisat foldere sto rijetko tko radi ili gotovo nitko. Obicno rade deface koji u krajnjem slucaju nema neke stete, ili pa rade da zarade injectanjem adsa, cookiesa, backlinkova ili kako su vec mastoviti…
Nije on u pravu i ne priča/piše ispravno.
Cek, ja nisam u pravu? Ne psiem ja da budem u pravu ili u krivu, ne nagadjam, ja pisem ono sto je. Stavio sma i linkove ako vas zanima mogu jos linkova zakacit gdje je server pao zbog malicioznog coda i sirila se kuga bas kao sto je napisao @bozoou
Davno jos tamo prije desetak godina mozda i vise i sam sam imao susret sa kugom i Godaddy super zasticenim serverima…
Od onda sam na svom VPSu kojeg sam sam zastitio i koji je doslovno neprobojan, no eto i takav server gdje si netko dade truda i uzme vremena da zastiti i dalje moze biti hakiran, bas kao sto sam i gore naveo.
Eto zbog jednog plugina kojeg sam dozvolis nepomaze ti nista… na vrijeme sam reagirao i steta nije napravljena zahvalkjujuci @Base koji mi je skrenuo paznju na to.
No ako kazes da krivo pricam onda napisi sto to krivo pricam i kako je tocno, jer ovako niti si @Hellas u pomogao niti meni, a najmanje @bozoou
Svjestan sam i toga…ali vrlo lako je saznati ponešto i o tome.
Ako stavim n broj foldera i svi se oni zaraze unutar dva dana…a ne zaraze se samo oni koji su dobili zabranjen permission za pisanje po njima…onda je više nego jasno što se tu dešava.
Izlistaj zapisane datoteke, vidi koji korisnik je owner. Kasnije kreiraj novog korisnika, pa sa njim folder i pogledaj hoć li u tom folderu biti novih zapisa. Ako ne bude, pokušaj sve te (ili neke ) foldere pridružiti tom novom korisniku.
I još nešto, tog korisnika (već postojećeg koji pravi probleme) izbaci iz wheel grupe (ako je u njoj)
Gdje to vidim?
Nego, sada kada sam pokušao naći taj info, skužio sam zanimljiv detaljčić.
Naime, na tom hostu je bilo 100+ projekata od kojih je pola sada neaktivno. I ja sam nekidan išao redom i brisao sve koji su neaktivni, tako da mi ostanu samo oni koje treba pročistiti.
I što se desilo…nakon par dana su se vratili svi folderi koje sam obrisao. A u njima su bili samo maliciozni file-ovi, dok su originalni file-ovi projekta ostali obrisani.
To sam shvatio na način da je virus sebi negdje popisao putanje ka svojim malicioznim fileovima, pa ih je u nekom momentu sve obnovio. Ako se maliciozni file nalazio unutar nekog foldera, onda u tom procesu su nastali i folderi koji su sadržavli te fileove…a koje sam ja ranije obrisao.
Nego, sada kada sam bacio info na te maliciozne file-ove, piše:
Last modified: Jun 8, 2018, 1:27 PM
Hmm? Kako je moguće da virus “jučer” napravi file na kojem piše da je zadnji puta modificiran tamo u 2018-toj? 
…zapravo, sad sam testirao na kompu. Ako neki file samo kopiram sa jednog mjesta na drugi …onda ostane isto “Last Modifed” vrijeme. Što će reći da virus ima negdje te fileove od kuda ih kopira i raseljava xd. A folderi koji su pri tome nastali imaju očekivano “Last Modifed” vrijeme od nekidan. Sve štima, heh.
U tom slučaju moram imati i karantenu 
Morao bi prvo imati jednog korisnika koji će predstavljati karantenu…i tek onda ako folder ne pokaže maliciozno ponašanje u karanteni, tek onda ga puštati među “ozdravljene”.
Jerbo bez karantene bi mogao imati propust kod čišćenja foldera, pa i dalje zaraženi folder pustiti među netom ozdravljene…pa se svi opet povampire. “Vampir” je ovdje odgovarajuća riječ…baš se tako ponašaju. Dižu mrtve i neartikulirano luduju. xd Doduše ne piju krv, ali nije fora kada klijent dođe na svoju web stranicu, a otvori mu se pornjava. Da ne kažem, ima tu i političkih stranica i nije im bilo milo vidjeti da su ponekada u ulozi pornjave, heh.
cPanel permission nad folderima radi zaštite od virusa
ovo je naslov topica, ala nam se smiju ti trolovi ako citaju, ali naravno ne citaju jer ih nezanima.
To povimparenje sam pisao gore ono se moze trigirat na vise nacina cron jobom, databasom, codom u fileu. Vjerojatno sa svim trime ako jedno obrises onda se sve vrati na staro preko druge dve metode. A vracaju vjerojatno jer su skinuli backup, bas da trolaju lose pokusaje ciscenja, kad pomislis da si sve pocistio oni sve vrate na staro. Vec sam napisao koji je prvi korak kad ti host hakiran, maknut ga sa tog hosta, ako nemas VPS onda odi na neki drugi shared. Tek nakon toga mozes cistiti. Ali je veliak fora da ti kad maknes na drugi shared da je vrlo moguce da ces zaraziti i susjede na tom drugom sharedu pa tako i sebe. I onda one tri metode database, cdoe u fileu i cron job dobivaju trecu metodu, odnosno potenciju susjeda koji isto ima tri metode i tako u krug…
NO ja pricam o crnim scenarijima i o toem kako bi taj virus ako je dobro napravljen trebao djelovati, a mozda nije, mozda je simple, mozda samo obrises i enma ga, ali cim si napisao da se on vraca i restora fileove onda je vjerojatnije riejc o gadnijem virusu.
P.S. Molio bih moderatora da promjeni naslov jer je komican, permission and folderima radi zastite… LOL
Ne kužim oko čega ti dramiš. 
Pa bjeg na drugi hosting nije rješenje dok se ne ukaže da je problem u hostingu. A ispravnim postavljanjem permissiona na folder(e) može biti jasno ko dan…da li host to štiti ili ne.
Bijegom na drugi hosting će se isti problem pojaviti i tamo, ukoliko nije rješen!
Znači, prvo treba ustvrditi problem. A tek ako se pokaže da je hosting krivac zarazi, onda se skloniti sa istoga. Nema tu neke mudrolije.
Da, zato sam i preporucio VPS na kojem bi bio samo ti i nitko drugi tada si tu cetvrtu mogucnost maknuo a to je da te inficiraju drugi.
Ja sam pokusao pomoci, 99% sam siguran kako ce ovo zavrsiti, a ti nas updejtaj jer bas me zanima dali sam u krivu…
Imao sam taj problem prije 2/3 tjedna na shared hostingu kod hostgatora.
Na kraju uzeo kod MyDataKnox i za svaki web uzeo poseban paket.
Obavezno u opcijama File Managers uključi da ti se prikazuju i skrivene datoteke/folderi jer u svakom projektu postoji par mapa koje sadrže maliciozni kod.
Također provjeri index.php jer tamo bude zaraženo također, ostalo skini wordfence Plugin i skeniraj fajlove.
Uzme se vps i neki linux, podesi se ssh pristup sa ključem, svi portovi se zatvore osim 80 ili 443, uzme se jači paket, ne mora za svaki app drugi paket, može u dockere staviti.
Obavezno da se na bazu može spajati isključivo sa localhosta, ako je na istom serveru, nikakav panel ne istalirati itd…
App van /var/www/html , samo link kao i kod svakog frameworka kako se radi.
Paziti na security ima tutoriala na netu.
Ako se koristi wp, wp je takav kakav je i tu kratkoročno nema pomoći, dugoročno, sve ovisi…
U linux su ugrađene iacl.
Shared hosting + wp vjerojatno najbolja kombimacija za napade kroz propuste, šuplji kao švicarski sir.
Vidio sam da se share hosting nudi već od 6 kn/mj, recimo da realno sve skupa koša 25 kn/mj, koliko se mora prodati paketa da se pokriju sva davanja, plate ljudi, a linux admini nisu jeftini.
Pa ja trenutno mogu iz foldera A pokrenut skriptu koja stvori file u folderu B, koji stoji paralelno uz folder A.
Znaci, nemam ja tu sto sumnjat…trenutno je jasno ko dan da svaki folder moze pisat po svakom. Kad uklonim tu mogucnost, a to je stvar postavki …onda cu samo ispratit jel se gamad dalje roji. A kako se sada roji svakodnevno…to nece biti tesko ispratit.
Znaci, mene samo zanima kako u postavkama slozit da folder A moze pisat unutar sebe, a da ne moze po susjednim folderima.
Mislim da je to @komentar objasnio …ali nisam jos najbolje skuzio gdje se kreiraju useri i kako se folder dodjeljuje u vlasništvo nekom useru. Doduse, nisam jos ni zagrijao stolicu da probam to slozit.
Ponavljam ti, tek kad se naprave osnovne postavke servera/cPanela …a problem nastavi postojati…tek onda ima smisla reći da je hosting kriv. I mozda je…nista zato, al treba ga testirat na propust…sto nije neka mudrolija.
Ovak da odem i na novi cPanel na drugom hostu…u istom kur** sam ak neznam zabranit da folder A pise po folderu B.
Ako pošast ima root ovlasti, onda nista ne pomaze kao ni u nekim drugim slucajevima.
Kad se pojavio virus za win pred nekoliko godina koji je zakljucavao file-ove po, radio je na nacin da ga pokupila osoba na win sa minimalnim pravima, on se probio svugdje u mrezi i gdje su trebale i cak admin ovlasti i radio stetu.
Samo je pitanje tko si ti? Tko pokreće skriptu?
Edit: I koliko cPanel nudi opcija tebi . Jer, slušaj, ti si na shared, I tek sam kasnije vidio da su svi ti folderi u tvom nalogu, u istom public folderu . @dadaas sam kontrirao jer on misli da će zaraza bez problema otići na druge naloge na tom istom serveru. Tebi, na istom nalogu skripta može lako preskakati iz foldera u folder.
Pa neznam tko sam xd. Valjda master user svog cPanela accounta…nevjerovatno mi je da se kroz cPanel ne mogu kreirati nekakve role/uloge sa odredjenim permisionima.
Tko pokrece skriptu?
Pa stavim ju u folder A, zatim trigiram url putanju koja referira na projekt A i skripta se trigira.
Dok god ta skripta može šarati po folderu B, onda je jasno ko dan da može i virus koji se nalazi u nekom od foldera. Od njih 50.
I dok god ne znam postaviti ove permissione na razini cPanela…skroz mi je nebitno jesam li na ovom hostu il nekom trecem. Naravno, druga stvar je kad bi se sve podesilo kak govori jorgovan, al on bi od svega pravio space shutle…sto je u praksi puno puta oversized.
Želim ostati na cPanelu i keep it simple…jednostavne permisije će bit najvjerovatnije rješenje mog problema.
Kao što u uvodnom postu rekoh, mogu ja zabranit pisanje po nekom folderu…i to zasad drži vodu. Samo onda gubim funkcionalnost da projekt A piše sam unutar sebe. To je jedini minus koji treba istjerat.
Netočno. Linux slijedi djelomično unix filozofiju, i u biti je ispod haube jednostavan, barem meni. Ne mogu zamisliti svakodnevni rad bez console. A docker je odlična stvar jer možeš imati hrpu containera i unutra različite OS-e, a instalacija minimalna, odlično za testiranje i produkciju, ne moraš se j… sa virtualnim mašinama i vagrantom. Space shutle je kompliciranje, frameworci, razvoj i održavanje wp-a itd…
Instaliram OS, apache, php, podesim sve , isključim sve portove osim potrebnih, stavim certifikate, složim https itd…
Nema oko toga puno filozofije ili znaš ili neznaš. Ako ne znaš, a hočeš naučiti, prvo češ se dosta pomučiti.
Jbg. kad svi prčkate po windowsima, kad sam dobio računalo pred 20 i nešto godina , nisam znao što su driveri, a kamoli bilo što drugo, mic po mic pa sam naučio.
U bugu 2001. ili 2002. bio članak o linuxu, virutalbox , reko da isprobam, bug kupovao od 97’ nadalje, probao linux 2001.god, od 2006 sam full na linuxu.
Ovo tipkam sa fedore 30. 
Ako dođeš negdje u firmu raditi kao developer , linux ce ti biti pod mus u dosta slučajeva , osim ako ne radiš .net ili eventualno javu , jer kad tad češ se sa ssh morati spojiti na server, tesni server , a dosta toga je na linux serverima danas.