- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
На VPS сервере можно смотреть логи заходов и запретить заходить на сервер, установив пароль.
У вас сомнительное представление о взломе сайта =))) В целом там немного не так, код выполняет php интерпретатор (как правило), он запущен от некоторого пользователя, скорее всего не от рута если настроено, а не просто VPS по дефолту поставлен с инструкциями из интернета, так вот доступ у этого интерпретатора будет ровно такой, какой у пользователя от которого он запускается, а значит, что вам подкладывают файлы через ваш же сайт запуская интерпретатор тот же что выполняет и код вашего сайта, а значит дыра в ваших скриптах. Есть множество шаред хостеров, которые изолируют сайты друг от друга, благо в линуксе достаточно инструментов.
Расскажите как получают рут через дырявый сайт?
он запущен от некоторого пользователя
Недостаточно много уязвимостей, позволяющих повысить привилегии, всплыло в линукс за последние годы ?))
а значит дыра в ваших скриптах. Есть множество шаред хостеров, которые изолируют сайты друг от друга, благо в линуксе достаточно инструментов.
Все сайты у меня были на статике, какие еще скрипты. Я плюнул на этого шаред хостера и перенес все свои сайты на VPS. Потом нашел, что вредоносный код они мне впихивали в .js скрипты, еще день потратил на чистку всех .js скриптов от их мусора. Так что не надо считать себя умнее других, так как не у всех на серверах работают чьи-то левые php скрипты 😁
Недостаточно много уязвимостей, позволяющих повысить привилегии, всплыло в линукс за последние годы ?))
Конкретно в ядре линукса кстати не слышал, может подскажете? Из последнего глобального была проблема с openssl и то далеко не на каждом сервере можно было провернуть. Но через сайт это конечно глупо, когда у тебя исполняющий скрипт работает от юзера который дальше своей домашней директории не видит, плюс еще изолирован неймспейсами, ну такое себе. Плюс человек перехжает на VPS я сомневаюсь что у него там не линукс и сомневаюсь что он будет его настраивать вменяемо и сомневаюсь что он будет обновлять его вовремя..... а вот например шареды, взять тот же netangels или бегет, все изолировано даже в рамках одного аккаунта, хотя если цель найти за 3 рубля в год там может действительно еще и майнит на сервере владелец сервера чтоб хоть как то отбить расходы.
Конкретно в ядре линукса кстати не слышал, может подскажете? Из последнего глобального была проблема с openssl и то далеко не на каждом сервере можно было провернуть. Но через сайт это конечно глупо, когда у тебя исполняющий скрипт работает от юзера который дальше своей домашней директории не видит, плюс еще изолирован неймспейсами, ну такое себе. Плюс человек перехжает на VPS я сомневаюсь что у него там не линукс и сомневаюсь что он будет его настраивать вменяемо и сомневаюсь что он будет обновлять его вовремя..... а вот например шареды, взять тот же netangels или бегет, все изолировано даже в рамках одного аккаунта, хотя если цель найти за 3 рубля в год там может действительно еще и майнит на сервере владелец сервера чтоб хоть как то отбить расходы.
из последнего
https://www.securitylab.ru/news/552967.php
На шареде получают рут через один из дырявых сайтов и потом по цепочке всех
Видимо имелся ввиду шелл, а не рут.
Если файл с паролем к базе доступен для чтения всем, то дальше тихо добавляются ссылки на свои ресурсы и т.д.