Безопасность дешёвого хостинга

  Безопасность дешёвого хостинга всегда стремиться к нулю. Один раз я сталкивался с этим в nano, теперь вот досталось softserviss заодно с DEAC.
  Попросили меня знакомые залить пару php файлов на хостинг по FTP . Залил и не работает :( Ну стал смотреть что там и как. Впечатлился php версии 5.1.4… Поиск эксплойта занял минут 15 и, о чудо, любые команды от пользователя apache к моим услугам:
Linux plesk-softserviss.asp.lv 2.6.18-194.11.3.el5 #1 SMP Mon Aug 30 16:23:24 EDT 2010 i686 i686 i386 GNU/Linux
  Дальше уж ломиться не стал ибо не собирался. Однако и так было ясно, что слить ВСЕ данные ВСЕХ клиентов этого сервера не составляет труда. Вероятно можно было бы получить и root доступ к самому серверу при благоприятном стечении обстоятельств.
  Мораль: дешевый хостинг – верный путь поделиться своими данными с третьими лицами.

Tags:

3 Responses to “Безопасность дешёвого хостинга”

  1. Вадим says:

    Есть клоуны, которые разрешают использование функции system(); в php.ini Т.е. весь **ВЗЛОМ** заключается в 1 строчке: такой файл заливается через ftp, и через браузер передаются параметры (ls/pwd/cp/mv/rm) переменной sh. Ололо я хакер номер 1! Печально то что администраторы, которые предоставляют услуги хостинга, держут более сотни различных сайтов тупо как vhosts, всё в одном каталоге /var/www. И что такое chroot/jail Windows админы и слыхать не слыхивали.

  2. deniss says:

    хуже всего ребята которые ставят какой-нибудь cPanel и потом боятся что-либо трогать лишь бы всё не порушилось. А это применимо к большинству латвийских хостингов.

  3. deniss says:

    Функция system абсолютно безопасна при прямых руках – fpm с правами пользователя в chroot-е на разделе без права выполнения как параноидальный вариант :)

Leave a Reply