 |
Проблемы с безопасностью на хостинге Web.am |
 |
15.01.2008, 15:50
|
#1
|
|
Младенец
Join Date: 10 2003
Location: Yerevan
Age: 51
Posts: 5
Rep Power: 0
|
Проблемы с безопасностью на хостинге Web.am
Месяц назад купил виртульный хостинг на Web.am под один из проектов.
Вчера обнаружил, что все зааплоденные image-файлы удалены из соответсвующей папки.
После небольшого исследования оказалось, что на сервере имеются серьезные проблемы с безопасностью данных.
Сразу же позвонил и сообщил об этом директору компании Web.am, но в любом случае советую владельцам сайтов на Web.am принять собственные меры предосторожности.
Контактный email: [email protected]
Last edited by lex; 15.01.2008 at 18:15.
Reason: security
|
|
|
|
|
15.01.2008, 16:44
|
#2
|
|
Грустно...
Join Date: 08 2002
Location: Там, где всегда идут дожди
Age: 43
Posts: 21,717
Rep Power: 9
|
Как много интересных сайтов...
|
|
|
|
|
15.01.2008, 17:42
|
#3
|
|
холостяк и точка.
Join Date: 03 2002
Location: Live?
Age: 42
Posts: 6,940
Rep Power: 7
|
ну а зачем было публиковать данную инфу так открыто?  спасибо конечно, но может уберете конкретно пару сайтов?
__________________
Сколько волка не корми, Медведь все равно круче!!!
Идет по лесу турист.Вдруг ему навстречу выходит медведь,и между ними
происходит следующий диалог.
Медведь:
- Ты кто?
- Турист.
- Врешь,турист - это я,а ты 'завтрак туриста'.
|
|
|
|
|
15.01.2008, 18:17
|
#4
|
|
Младенец
Join Date: 10 2003
Location: Yerevan
Age: 51
Posts: 5
Rep Power: 0
|
Я удалил список хостов на Web.am из поста 
|
|
|
|
|
16.01.2008, 06:47
|
#5
|
|
ложки нет
Join Date: 02 2007
Location: .
Posts: 7,305
Rep Power: 7
|
Лекс, привет дараго) заговорил после 5 лет молчания?))
а что за дыра? если можно поподробнее плз
__________________
Цианистый калий - лучшее лекарство от всех болезней..
|
|
|
|
|
16.01.2008, 08:23
|
#6
|
|
холостяк и точка.
Join Date: 03 2002
Location: Live?
Age: 42
Posts: 6,940
Rep Power: 7
|
спасибо ))
__________________
Сколько волка не корми, Медведь все равно круче!!!
Идет по лесу турист.Вдруг ему навстречу выходит медведь,и между ними
происходит следующий диалог.
Медведь:
- Ты кто?
- Турист.
- Врешь,турист - это я,а ты 'завтрак туриста'.
|
|
|
|
|
18.01.2008, 08:00
|
#7
|
|
Младенец
Join Date: 03 2003
Location: .am
Age: 43
Posts: 13
Rep Power: 0
|
СоррИ, уверены ли вы, что ваши картинки не были удалены из-за вашего собственного недосмотра (оставили админку без пароля, открытый каталог или еще чего)?
BTW: А вы сами из какой конторы будете? (с)
|
|
|
|
|
|
|
|
19.01.2008, 04:40
|
#8
|
|
инсценирующи
Join Date: 07 2002
Location: Fireplace of Ecotopia
Age: 39
Posts: 4,327
Rep Power: 5
|
1) Довольно предусмотрительным шагом, было бы написание данного топика на армянском языке, так как форум открыт для всего мира и скрипт-киддисы из бывшей братской страны что на востоке, очень любят заюзать стандартные дыры в армянских сайтах.
2) На большей части хостингов с которыми я работал, были определенные моменты которые с одной стороны можно назвать "дырой в безопасности", а с другой необходимым условием для работы неких приложений.
Անուններ չնշելով, խոշոր հայկական հոստիգներից մեկի վրա, միացված է ռեգիստեր գլոբալսը, մյուսում թույալտրրված են արտատքին ցացնային միացումներ ՏԲին և դա թեթևմտության կամ ոչ պռոֆեսսիոնալիզմի մասին չի խոսում։ Եթե հոստինգի օգտագործողը գրագետ է, ապա ինքը դա կոնկրեն իր համար անջատում է, եթե նման «շռայլության» կարիքը չունի։ Քանի որ ես այս գրարման առաջին տարբերակը տեսել եմ, ենդադրեմ որ ձեզ պետք էր պարզապես ձեր ֆոլդերնեին տալ համապատասխան թույլտվություններ (chmod)-ի միջոցով, և նշել թե ով, և ինչ իրավունք ունի անելու, իսկ ինչ՝ չունի։ Ես չգիտեմ, թե Վեբում, իլռայն ինչ պարամետրեր են հիմա դրվում, բայց թույլտվություններին հետևլը, ոչ քիչ չափով նաև օգտագործողի խղճի վրա է։
__________________
...ибо...
Rgrdz. [ Кселджэн ]
|
|
|
|
 |
|
19.01.2008, 12:29
|
#9
|
|
Дошкольник
Join Date: 10 2007
Location: Аннунахск
Posts: 110
Rep Power: 4
|
через эту дыру наши азербайджанские товарищи с securitylab.az периодически удачно "имели" во все отверстия сайты с данного хостинга, о чем еще летом администрация Web.am было оповещена, однако сослались на то, что у юзеров украли пароли от фтп и(или) у юзеров дырявые скрипты. на просьбу включить safe_mode или хотя бы open_basedir был получен отказ. один из пострадавших сайтов был auto.am
|
|
|
|
|
21.01.2008, 07:31
|
#10
|
|
Младенец
Join Date: 10 2003
Location: Yerevan
Age: 51
Posts: 5
Rep Power: 0
|
Ребята, на данный форум я захожу редко, а пишу наверное в первый раз (максимум 2-ой).
Так вот, дыра на хостинге Web.am - наисерьезнейшая.
Опять же из соображений безопасности не раскрываю деталей на форуме.
Кто реально(!) заинтересован в информации:
звоните (093) 860653
или пишите на [email protected],
ICQ UIN : 675-052.
Зовут меня Александр Бахшетян.
На данный момент являюсь техническим руководителем аутосорсинговой компании,
занимающейся разработкой Веб приложений.
Веб технологиями занимаюсь с 98-ого года.
Last edited by lex; 21.01.2008 at 07:52.
|
|
|
|
|
21.01.2008, 08:27
|
#11
|
|
Дошкольник
Join Date: 10 2007
Location: Аннунахск
Posts: 110
Rep Power: 4
|
опять же из соображений безопасности надо раскрыть описание баги и потом всем юзерам пойди и надавать админам по голове
|
|
|
|
|
22.01.2008, 06:30
|
#12
|
|
Младенец
Join Date: 03 2003
Location: .am
Age: 43
Posts: 13
Rep Power: 0
|
Quote:
Originally Posted by lex
Ребята, на данный форум я захожу редко, а пишу наверное в первый раз (максимум 2-ой).
Так вот, дыра на хостинге Web.am - наисерьезнейшая.
Опять же из соображений безопасности не раскрываю деталей на форуме.
Кто реально(!) заинтересован в информации.
|
Доброе время суток.
Я один из реально заинтересованных, ибо у самого один из хостингов лежит на веб-е...
Насколько я знаю, на данный момент ошибки были исправлены.
Если вам не трудно, можете ли вы подтвердить или опровергнуть то, что ошибка, вами обнаруженная исправлена?
|
|
|
|
|
|
|
|
22.01.2008, 09:02
|
#13
|
|
Младенец
Join Date: 10 2003
Location: Yerevan
Age: 51
Posts: 5
Rep Power: 0
|
Вчера под вечер, через неделю после оповечения всего начальства Веб, а также заинтересованных лиц и компаний, дыра была наконец прикрыта - включили таки safe_mode для ПХП.
Что интересно: до самого последнего момента отвественные дяди из Веб тупо опровергали наличие серьезных проблем на сервере, пока просто им не показали пару MySQL юзернеймов и паролей а также пошаговые инструкции как это получается.
Оказалось, что сервер работал в таком состоянии как минимум 7-8 месяцев, в течении которых 2-3 раза подвергался опустошительным набегам нашими "братьями по разуму" из соседней страны.
Ребята из Флюгер и Медиамакс, у которых на сервере имеются несколько серьезных проектов, неоднократно жаловались в Веб по поводу проблем с безопасностью на сервере, но каждый раз начальство Веб обвиняло их в некомпетентности, типа сами виноваты - не умеете создавать безопасные сайты.
В общем делайте выводы, ребята.
Last edited by lex; 22.01.2008 at 09:13.
|
|
|
|
|
|
22.01.2008, 10:42
|
#14
|
|
http://abrahamyan.net
Join Date: 05 2007
Location: Yerevan
Posts: 208
Rep Power: 4
|
дыра была еще полчаса назад (причем та самая которая была и вчера), как собственно обвинения в некомпетентности и неумении создавать безопасные сайты.
выводы сделал
|
|
|
|
|
22.01.2008, 12:43
|
#15
|
|
Moderator
Join Date: 09 2001
Location: South Korea, Gumi
Posts: 7,699
Rep Power: 7
|
Неужели нынче так труднодоступно купить себе нормальный хостинг за бугром?
Я думал этот этап "блокады" уже пройден...
|
|
|
|
|
All times are GMT. The time now is 17:12. |
|
|
![[ Xelgen ]'s Avatar](images/avatars/avatar40.gif){kind=avatar}
