Не знаю, почему бы хостеру не отключить права на выполнение команд ls - Хостинг и серверы для сайтов

Timeweb и доступ ко всем сайтам через шелл

mff · 2011-05-28T18:11:29.0000000Z

Здравствуйте коллеги! 2 дня назад нашел шелл у себя на сайте, глянул, а там есть доступ ко всем моим сайтам. Пересмотрел все свои самописные скрипты на наличие sql инъекций - не нашел. Написал в суппорт с просьбой закрыть доступ ко всем соседним сайтам, вот лог переписки: IcqShop (21:38:40 28/05/2011) Здравствуйте! IcqShop (21:41:20 28/05/2011) У нас проблемы с хостингом. 2 дня назад злоумышленники взломали один из сайтов и через дырку залили веб-шелл. Все сайты и базы скопировали и скачали к себе. Шелл я нашел, попробовал в нем полазить и увидел что через него есть доступ ко все моим сайтам. Как закрыть возможность просмотра соседних файлов, отключить опасные функции пхп и закрыть команды ls, id, cat,dir? Что мне делать? Люди пишут что мол хостинг у меня плохой. Но я же плачу за него не малые деньги. Скажите что делать? TimeWeb.ru Support (21:44:17 28/05/2011) Доброго времени суток. То что Вы просите осуществить не реализуемо. IcqShop (21:44:52 28/05/2011) что же делать? IcqShop (21:45:18 28/05/2011) через шелл на одном сайте есть доступ ко все другим TimeWeb.ru Support (21:46:08 28/05/2011) Укажите ссылку на пример этого. IcqShop (21:46:25 28/05/2011) минутку, я залью опять шелл а вы посмотрите IcqShop (21:46:45 28/05/2011) http://*******/1.php IcqShop (21:48:22 28/05/2011) скажите когда можно удалить TimeWeb.ru Support (21:48:32 28/05/2011) Решите проблему с безопасностью на сайте. IcqShop (21:51:46 28/05/2011) так как решить если я не знаю через какой сайт взломали, у меня там 10-14 сайтов, есть форумы и други паблик скипты, модули. Меня волнует то, что взломав один сайт есть доступ ко всем остальным. Люди пишут что это вина хостера. TimeWeb.ru Support (21:53:39 28/05/2011) Взломали Ваш сайт. Соответственно проблема с безопасностью именно на нем - в самой cms. Обратитесь к разработчикам для выяснения способа избежать этого в дальнейшем. IcqShop (21:55:50 28/05/2011) Хорошо, я с эту проблемму и наш лог переписки выкладываю на сёрч. Посмотрю что посоветуют люди с опытом. У меня к сожалению нет опыта большого в программировании. Свои самописные сайты я защитил от инъекций. Меня волнует то, что у злоумышленника был доступ ко все папкам и сайтам. Кто что может прокомментировать? Это нормально, что взломав один сайт, злоумышленник видит и имеет доступ ко всем остальным сайтам на аккаунте? За ранее спасибо!

282

mff

28 мая 2011, 18:37

#11

Raistlin:
Открывайте логи и изучайте

лог 300 метров ни чего подозрительного не нашел в нем.

Управление репутацией в сети: https://timbook2.ru/

523

Den73

28 мая 2011, 18:37

#12

mff:
Это их проблемы, у меня был вопрос, можно ли закрыть доступ с одного сайта к другим. Я получил ответ, за что всем и спасибо.
Теперь у меня другой вопрос, как найти дыру и через какой сайт произошел взлом?

только логи

282

mff

28 мая 2011, 18:37

#13

anat:
Хостинг смотрел логи ftp?

нет, не смотрел

mff добавил 28.05.2011 в 22:38

Den73:
только логи

боюсь что злоумышленник мог потереть в логах нужные места.

523

Den73

28 мая 2011, 18:42

#14

mff:
нет, не смотрел

mff добавил 28.05.2011 в 22:38
боюсь что злоумышленник мог потереть в логах нужные места.

тут не знаю как у данного хостера, но лог должен быть еще глобальный который не удалить с аккаунта юзера но это к админам уже.

822

Andreyka

28 мая 2011, 18:43

#15

Я бы посоветовал vps с apache-mpm-itk

Не стоит плодить сущности без необходимости

247

Raistlin

28 мая 2011, 18:44

#16

акцесс-логи глядеть. апача.

HostAce - Асы в своем деле (http://hostace.ru)

W

54

winstrool

28 мая 2011, 18:45

#17

anat:
Здравствуйте
Если у вас сайты под одним пользователем - для шела "нормально" иметь доступ ко всем, это почти как по ftp зайти папкой ниже, а папкой ваше - все ваши сайты на ладони.
"отключить опасные функции пхп и закрыть команды ls, id, cat,dir"
Первое, думаю них есть. Второе - не совсем понятно зачем что-то закрывать - от них хуже не будет.
А вот как шел залили - другой вопрос.

для шелла нормально, но расмотрим теперь такую ситуацию, злоумышленик сломал сайт, просмотрел доступные сайты с данного аккаунта используя команду cat /etc/passwd, второй вариант ls -la /home/vhost/$site/

многие используют публичные движки, и элементарно одну уязвимую функцию слишком легко не заметить и очень трудно найти, и чтоб была возможность защетить соседние сайты, почему бы хостеру не отключить права на выполнение команд ls, cat ведь по сути они не нужны для владельцов сатов... а логи злоумышленик легко подтиреть может!

На сервере появилась новая Аудит безопасности вашего сайта IHC.RU - Качественный хостинг,

247

Raistlin

28 мая 2011, 18:46

#18

winstrool, не нужны? Да вы что?

523

Den73

28 мая 2011, 18:47

#19

winstrool:
для шелла нормально, но расмотрим теперь такую ситуацию, злоумышленик сломал сайт, просмотрел доступные сайты с данного аккаунта используя команду cat /etc/passwd, второй вариант ls -la /home/vhost/$site/
многие используют публичные движки, и элементарно одну уязвимую функцию слишком легко не заметить и очень трудно найти, и чтоб была возможность защетить соседние сайты, почему бы хостеру не отключить права на выполнение команд ls, cat ведь по сути они не нужны для владельцов сатов... а логи злоумышленик легко подтиреть может!

вы не думаете что найдется уйма функций через которые можно так же прочесть файлы?

не надо не чего отключать просто нужно изолировать сайты друг от друга вот и все

W

54

winstrool

28 мая 2011, 18:53

#20

согласен, но как я понял хостер не хочет этим заниматься "КОТОРЫЙ ГОВОРЯТ ОЧЕНЬ ХОРОШИЙ", сколько занимался сайтами и на многих хостеры отключают возможность просматривать соседние сайты, даже хеовые хостеры, по поводу функций соглашусь, ну и их можно отключить или грамотно настроить...

Как я из-за ihc.ru Украли сайт Давайте составим свой рейтинг

Open AI тестирует память для ChatGPT

Переиграть и победить: как анализировать конкурентов для продвижения сайта

Timeweb и доступ ко всем сайтам через шелл