Внимание, дыра на хостинге Web.am

[lex]

Месяц назад купил виртульный хостинг на Web.am под один из проектов.

Вчера обнаружил, что все зааплоденные image-файлы удалены из соответсвующей папки.

После небольшого исследования оказалось, что на сервере имеются серьезные проблемы с безопасностью данных.

Сразу же позвонил и сообщил об этом директору компании Web.am, но в любом случае советую владельцам сайтов на Web.am принять собственные меры предосторожности.

Контактный email: bakhshetyan@gmail.com

[Agregat]

Как много интересных сайтов...

[Medved Kosolapiy]

ну а зачем было публиковать данную инфу так открыто? спасибо конечно, но может уберете конкретно пару сайтов?

[lex]

Я удалил список хостов на Web.am из поста :-)

[{arsen}]

Лекс, привет дараго) заговорил после 5 лет молчания?))
а что за дыра? если можно поподробнее плз

[Medved Kosolapiy]

спасибо ))

[Overlord]

СоррИ, уверены ли вы, что ваши картинки не были удалены из-за вашего собственного недосмотра (оставили админку без пароля, открытый каталог или еще чего)?

BTW: А вы сами из какой конторы будете? (с)

[[ Xelgen ]]

1) Довольно предусмотрительным шагом, было бы написание данного топика на армянском языке, так как форум открыт для всего мира и скрипт-киддисы из бывшей братской страны что на востоке, очень любят заюзать стандартные дыры в армянских сайтах.

2) На большей части хостингов с которыми я работал, были определенные моменты которые с одной стороны можно назвать "дырой в безопасности", а с другой необходимым условием для работы неких приложений.
Անուններ չնշելով, խոշոր հայկական հոստիգներից մեկի վրա, միացված է ռեգիստեր գլոբալսը, մյուսում թույալտրրված են արտատքին ցացնային միացումներ ՏԲին և դա թեթևմտության կամ ոչ պռոֆեսսիոնալիզմի մասին չի խոսում։ Եթե հոստինգի օգտագործողը գրագետ է, ապա ինքը դա կոնկրեն իր համար անջատում է, եթե նման «շռայլության» կարիքը չունի։ Քանի որ ես այս գրարման առաջին տարբերակը տեսել եմ, ենդադրեմ որ ձեզ պետք էր պարզապես ձեր ֆոլդերնեին տալ համապատասխան թույլտվություններ (chmod)-ի միջոցով, և նշել թե ով, և ինչ իրավունք ունի անելու, իսկ ինչ՝ չունի։ Ես չգիտեմ, թե Վեբում, իլռայն ինչ պարամետրեր են հիմա դրվում, բայց թույլտվություններին հետևլը, ոչ քիչ չափով նաև օգտագործողի խղճի վրա է։

[pdq]

через эту дыру наши азербайджанские товарищи с securitylab.az периодически удачно "имели" во все отверстия сайты с данного хостинга, о чем еще летом администрация Web.am было оповещена, однако сослались на то, что у юзеров украли пароли от фтп и(или) у юзеров дырявые скрипты. на просьбу включить safe_mode или хотя бы open_basedir был получен отказ. один из пострадавших сайтов был auto.am

[lex]

Ребята, на данный форум я захожу редко, а пишу наверное в первый раз (максимум 2-ой).
Так вот, дыра на хостинге Web.am - наисерьезнейшая.
Опять же из соображений безопасности не раскрываю деталей на форуме.
Кто реально(!) заинтересован в информации:
звоните (093) 860653
или пишите на bakhshetyan@gmail.com,
ICQ UIN : 675-052.

Зовут меня Александр Бахшетян.
На данный момент являюсь техническим руководителем аутосорсинговой компании,
занимающейся разработкой Веб приложений.
Веб технологиями занимаюсь с 98-ого года.

[pdq]

опять же из соображений безопасности надо раскрыть описание баги и потом всем юзерам пойди и надавать админам по голове

[Overlord]

Quote:

Originally Posted by lex

Ребята, на данный форум я захожу редко, а пишу наверное в первый раз (максимум 2-ой).
Так вот, дыра на хостинге Web.am - наисерьезнейшая.
Опять же из соображений безопасности не раскрываю деталей на форуме.
Кто реально(!) заинтересован в информации.

Доброе время суток.

Я один из реально заинтересованных, ибо у самого один из хостингов лежит на веб-е...
Насколько я знаю, на данный момент ошибки были исправлены.
Если вам не трудно, можете ли вы подтвердить или опровергнуть то, что ошибка, вами обнаруженная исправлена?

[lex]

Вчера под вечер, через неделю после оповечения всего начальства Веб, а также заинтересованных лиц и компаний, дыра была наконец прикрыта - включили таки safe_mode для ПХП.

Что интересно: до самого последнего момента отвественные дяди из Веб тупо опровергали наличие серьезных проблем на сервере, пока просто им не показали пару MySQL юзернеймов и паролей а также пошаговые инструкции как это получается.

Оказалось, что сервер работал в таком состоянии как минимум 7-8 месяцев, в течении которых 2-3 раза подвергался опустошительным набегам нашими "братьями по разуму" из соседней страны.

Ребята из Флюгер и Медиамакс, у которых на сервере имеются несколько серьезных проектов, неоднократно жаловались в Веб по поводу проблем с безопасностью на сервере, но каждый раз начальство Веб обвиняло их в некомпетентности, типа сами виноваты - не умеете создавать безопасные сайты.

В общем делайте выводы, ребята.

[Ed@]

дыра была еще полчаса назад (причем та самая которая была и вчера), как собственно обвинения в некомпетентности и неумении создавать безопасные сайты.

выводы сделал

[acid]

Неужели нынче так труднодоступно купить себе нормальный хостинг за бугром?
Я думал этот этап "блокады" уже пройден...