Armenian Knowledge Base  

Go Back   Armenian Knowledge Base > Technical sections > Webmaster Zone > Showcase
Register

Reply
 
LinkBack Thread Tools
Old 15.01.2008, 15:50   #1
Младенец
 
Join Date: 10 2003
Location: Yerevan
Age: 43
Posts: 5
Downloads: 0
Uploads: 0
Reputation: 7 | 0
Default Проблемы с безопасностью на хостинге Web.am

Месяц назад купил виртульный хостинг на Web.am под один из проектов.

Вчера обнаружил, что все зааплоденные image-файлы удалены из соответсвующей папки.

После небольшого исследования оказалось, что на сервере имеются серьезные проблемы с безопасностью данных.

Сразу же позвонил и сообщил об этом директору компании Web.am, но в любом случае советую владельцам сайтов на Web.am принять собственные меры предосторожности.

Контактный email: [email protected]

Last edited by lex; 15.01.2008 at 18:15. Reason: security
Reply With Quote
Old 15.01.2008, 16:44   #2
Грустно...
 
Agregat's Avatar
 
Join Date: 08 2002
Location: Там, где всегда идут дожди
Age: 35
Posts: 21,717
Downloads: 2
Uploads: 0
Reputation: 250 | 7
Default

Как много интересных сайтов...
Reply With Quote
Old 15.01.2008, 17:42   #3
холостяк и точка.
 
Medved Kosolapiy's Avatar
 
Join Date: 03 2002
Location: Live?
Age: 35
Posts: 6,942
Downloads: 2
Uploads: 0
Reputation: 515 | 6
Default

ну а зачем было публиковать данную инфу так открыто? спасибо конечно, но может уберете конкретно пару сайтов?
Reply With Quote
Old 15.01.2008, 18:17   #4
Младенец
 
Join Date: 10 2003
Location: Yerevan
Age: 43
Posts: 5
Downloads: 0
Uploads: 0
Reputation: 7 | 0
Default

Я удалил список хостов на Web.am из поста
Reply With Quote
Old 16.01.2008, 06:47   #5
ложки нет
 
{arsen}'s Avatar
 
Join Date: 02 2007
Location: .
Posts: 7,305
Downloads: 11
Uploads: 2
Reputation: 1258 | 6
Default

Лекс, привет дараго) заговорил после 5 лет молчания?))
а что за дыра? если можно поподробнее плз
Reply With Quote
Old 16.01.2008, 08:23   #6
холостяк и точка.
 
Medved Kosolapiy's Avatar
 
Join Date: 03 2002
Location: Live?
Age: 35
Posts: 6,942
Downloads: 2
Uploads: 0
Reputation: 515 | 6
Default

спасибо ))
Reply With Quote
Old 18.01.2008, 08:00   #7
Младенец
 
Overlord's Avatar
 
Join Date: 03 2003
Location: .am
Age: 35
Posts: 13
Downloads: 6
Uploads: 0
Reputation: 0 | 0
Default

СоррИ, уверены ли вы, что ваши картинки не были удалены из-за вашего собственного недосмотра (оставили админку без пароля, открытый каталог или еще чего)?

BTW: А вы сами из какой конторы будете? (с)
Reply With Quote
Old 19.01.2008, 04:40   #8
инсценирующи
 
[ Xelgen ]'s Avatar
 
Join Date: 07 2002
Location: Fireplace of Ecotopia
Age: 31
Posts: 4,327
Downloads: 22
Uploads: 0
Reputation: 193 | 4
Default

1) Довольно предусмотрительным шагом, было бы написание данного топика на армянском языке, так как форум открыт для всего мира и скрипт-киддисы из бывшей братской страны что на востоке, очень любят заюзать стандартные дыры в армянских сайтах.

2) На большей части хостингов с которыми я работал, были определенные моменты которые с одной стороны можно назвать "дырой в безопасности", а с другой необходимым условием для работы неких приложений.
Անուններ չնշելով, խոշոր հայկական հոստիգներից մեկի վրա, միացված է ռեգիստեր գլոբալսը, մյուսում թույալտրրված են արտատքին ցացնային միացումներ ՏԲին և դա թեթևմտության կամ ոչ պռոֆեսսիոնալիզմի մասին չի խոսում։ Եթե հոստինգի օգտագործողը գրագետ է, ապա ինքը դա կոնկրեն իր համար անջատում է, եթե նման «շռայլության» կարիքը չունի։ Քանի որ ես այս գրարման առաջին տարբերակը տեսել եմ, ենդադրեմ որ ձեզ պետք էր պարզապես ձեր ֆոլդերնեին տալ համապատասխան թույլտվություններ (chmod)-ի միջոցով, և նշել թե ով, և ինչ իրավունք ունի անելու, իսկ ինչ՝ չունի։ Ես չգիտեմ, թե Վեբում, իլռայն ինչ պարամետրեր են հիմա դրվում, բայց թույլտվություններին հետևլը, ոչ քիչ չափով նաև օգտագործողի խղճի վրա է։
__________________
...ибо...
Rgrdz. [ Кселджэн ]
Reply With Quote
Old 19.01.2008, 12:29   #9
Дошкольник
 
pdq's Avatar
 
Join Date: 10 2007
Location: Аннунахск
Posts: 110
Downloads: 0
Uploads: 0
Reputation: 32 | 2
Default

через эту дыру наши азербайджанские товарищи с securitylab.az периодически удачно "имели" во все отверстия сайты с данного хостинга, о чем еще летом администрация Web.am было оповещена, однако сослались на то, что у юзеров украли пароли от фтп и(или) у юзеров дырявые скрипты. на просьбу включить safe_mode или хотя бы open_basedir был получен отказ. один из пострадавших сайтов был auto.am
Reply With Quote
Old 21.01.2008, 07:31   #10
Младенец
 
Join Date: 10 2003
Location: Yerevan
Age: 43
Posts: 5
Downloads: 0
Uploads: 0
Reputation: 7 | 0
Default

Ребята, на данный форум я захожу редко, а пишу наверное в первый раз (максимум 2-ой).
Так вот, дыра на хостинге Web.am - наисерьезнейшая.
Опять же из соображений безопасности не раскрываю деталей на форуме.
Кто реально(!) заинтересован в информации:
звоните (093) 860653
или пишите на [email protected],
ICQ UIN : 675-052.

Зовут меня Александр Бахшетян.
На данный момент являюсь техническим руководителем аутосорсинговой компании,
занимающейся разработкой Веб приложений.
Веб технологиями занимаюсь с 98-ого года.

Last edited by lex; 21.01.2008 at 07:52.
Reply With Quote
Old 21.01.2008, 08:27   #11
Дошкольник
 
pdq's Avatar
 
Join Date: 10 2007
Location: Аннунахск
Posts: 110
Downloads: 0
Uploads: 0
Reputation: 32 | 2
Default

опять же из соображений безопасности надо раскрыть описание баги и потом всем юзерам пойди и надавать админам по голове
Reply With Quote
Old 22.01.2008, 06:30   #12
Младенец
 
Overlord's Avatar
 
Join Date: 03 2003
Location: .am
Age: 35
Posts: 13
Downloads: 6
Uploads: 0
Reputation: 0 | 0
Default

Quote:
Originally Posted by lex View Post
Ребята, на данный форум я захожу редко, а пишу наверное в первый раз (максимум 2-ой).
Так вот, дыра на хостинге Web.am - наисерьезнейшая.
Опять же из соображений безопасности не раскрываю деталей на форуме.
Кто реально(!) заинтересован в информации.
Доброе время суток.

Я один из реально заинтересованных, ибо у самого один из хостингов лежит на веб-е...
Насколько я знаю, на данный момент ошибки были исправлены.
Если вам не трудно, можете ли вы подтвердить или опровергнуть то, что ошибка, вами обнаруженная исправлена?
Reply With Quote
Old 22.01.2008, 09:02   #13
Младенец
 
Join Date: 10 2003
Location: Yerevan
Age: 43
Posts: 5
Downloads: 0
Uploads: 0
Reputation: 7 | 0
Default

Вчера под вечер, через неделю после оповечения всего начальства Веб, а также заинтересованных лиц и компаний, дыра была наконец прикрыта - включили таки safe_mode для ПХП.

Что интересно: до самого последнего момента отвественные дяди из Веб тупо опровергали наличие серьезных проблем на сервере, пока просто им не показали пару MySQL юзернеймов и паролей а также пошаговые инструкции как это получается.

Оказалось, что сервер работал в таком состоянии как минимум 7-8 месяцев, в течении которых 2-3 раза подвергался опустошительным набегам нашими "братьями по разуму" из соседней страны.

Ребята из Флюгер и Медиамакс, у которых на сервере имеются несколько серьезных проектов, неоднократно жаловались в Веб по поводу проблем с безопасностью на сервере, но каждый раз начальство Веб обвиняло их в некомпетентности, типа сами виноваты - не умеете создавать безопасные сайты.

В общем делайте выводы, ребята.

Last edited by lex; 22.01.2008 at 09:13.
Reply With Quote
Old 22.01.2008, 10:42   #14
http://abrahamyan.net
 
Ed@'s Avatar
 
Join Date: 05 2007
Location: Yerevan
Posts: 208
Downloads: 6
Uploads: 0
Reputation: 76 | 3
Default

дыра была еще полчаса назад (причем та самая которая была и вчера), как собственно обвинения в некомпетентности и неумении создавать безопасные сайты.

выводы сделал
Reply With Quote
Old 22.01.2008, 12:43   #15
Moderator
 
acid's Avatar
 
Join Date: 09 2001
Location: South Korea, Gumi
Posts: 7,699
Downloads: 102
Uploads: 34
Blog Entries: 16
Reputation: 561 | 6
Default

Неужели нынче так труднодоступно купить себе нормальный хостинг за бугром?
Я думал этот этап "блокады" уже пройден...
Reply With Quote
Sponsored Links
Reply

Thread Tools


На правах рекламы:
реклама

All times are GMT. The time now is 00:46.


Powered by vBulletin® Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.