Взлом хоста!

Насколько вижу по откликам, чаще всего не сервера ломают, а у клиента трояны уводят пароль от фтп и заливают какую-то бяку

Сервера хостеров ломают значительно реже

А ломать один конкретный сайт - какой вообще смысл - ну восстановят все из бэкапов, ну поменяют пароли, ну поматерятся в течение нескольких часов потраченного времени - и что, кому от этого какая польза?

HTML, PHP и все!

Я привел их для примера, чтоб не совсем абстрактно говорить. На одном из них планируется делать сайт.

На самом деле полностью на Вашей стороне. Но заказчик готов к взлому как пионэр. Дело в том, что его ближайший конкурент - это еще и враг. Вот и боятся. А я и пытаюсь узнать, что конкретно надо прикрыть!

Всем спасибо за инфу. Мож кто еще знает как себя обезопасить!

Сервера ломают гораздо реже чем саты стоящие на них.

1. Сначала надо понять, что конкретно боится потерять ваш заказчик и от этого уже плясать.

Ну к стате теперь ты более менее прояснил ситуацию:

Если клиент хочет разместиться на общем хостинге+php, то советую придерживаться следующего:

1. подыщи хостинг, на котором все соседние аккаунты на серваке работают в режиме safemode

это затруднит конкурентам, которые купили хостинг на том же серваке, пользуясь средствами php подключать чужие скрипты и выполнять shellовские комманды

2. на все файлы сайта, нужно будет поставить права только на чтение для всех.

Другое дело, что, наверняка, нужны будут папочки в которые что то писаться все-таки должно :) Их можно оставить, но и почаще применять к ним п. 3

3. делать бэкапы по мере необходимости самому. Ибо далеко не все хостеры их делают и далеко на такая длинная у них ротация как хотелось бы. Бывает нужно бэкап восстановить за 2 месяца давности. Но нужно и все, а его нет.

4. есть ещё такая фишка, что под каждый аккаунт аппач запускается со своими правами. Так, что заходишь на сайт сайт.ру/хак.пхп. И скрипт хак.пхп просто ничего и не сможет сделать за пределами своего аккаунта. Ну типа отличие этого от п. 1, даёт дополнительную защиту, но уже на уровне операционки.

5. Ну и самое главное, наверное, не делать дырок на самом сайте!!! чтобы ни какая SQL-инъекция и XSS страшная штука не пролезла (есть ещё и другие, но я о них стараюсь не вспоминать). А если сайтец навороченный, то поиск и затыкание всех дырок в нем может происходить долго и поэтому накладно по деньгам для Заказчика.

6. Ни кому ни давать пароли, особенно заказчику! ибо пусть не обежаются, они ламеры в этом деле и вирусняка точно словят. Знаю уже такие случаи и немало.

Я конечно написал все по ламерски, админы, думаю, смогут перевести это на более русский язык с профессиональными терминами.

+15

Только даааалеко не все хостеры выполняют эти нехитрые правила.

Так что самый простой способ (имхо, понятно) - купить хостинг-аккаунт на том же сервере, где находится сайт-жертва и посредством php исполнять требуемые shell команды. Даже если все файлы открыты только на чтение, то просмотр текстовки скриптов, как правило, может помочь найти уязвимость. А дальше дело техники.

да, бэкап сильная вещ, только несколько часов на восстановление это чёт много, разве что бэкапы в банке хранятся =)

а ваш аккаунт соответственно с отключеным safemode ?? я скорее поищу другой хостинг...

а если это бэкапы самих банков???

safemode приносит как пользу так и головную боль. Я, например, предпочитаю хостинг с PHP в виде CGI и без всяких там safemode, open_basedir, запрещённых функций и тому подобного.

Как раз сайты ломают чаще чем сервера, поскольку дыр на сайтах гораздо больше, чем на сервере. Хотя в последнее время, чаще уводят пароли троянами, чем юзают дыры на сайтах.

Использование любого серверного скриптового языка на сайте - это уже потенциальная уязвимость. В данном случае лучше заказать аудит безопасности сайта (есть такая услуга) у проверенных людей.

Посоветуете?