Warning! Дырявые хостинги.

kostich · 2006-11-22T05:30:37.0000000Z

Доверчивым любителям r-x--x--x посвящается. Не буду сейчас описывать ГРОМАДНЫЙ список HSP с правами к клиентским директориям по данной схеме. Хочется лишь напомнить их клиентам, что многочисленные «ботнеты», с помощью которых организуют DDOS атаки, методом закачки на их хостинг какого-то скрипта, делаются за счет типичной ошибки в организации доступа к файлам и директориям других клиентов. Если администраторы вашего хостинга считают, что из директории другого клиента, права на которую установлены в r-xxx нельзя читать файлы, то они глубоко заблуждаются. Если они считают, что запретив чтение, к примеру /home, список домашних директорий нельзя узнать, то они не знают элементарных вещей. Любой клиент такого хостинга может зайти под своим SSH заходом а потом, к примеру: for i in ls `cat /etc/passwd|awk -F ":" '{print $6}'`; do cat $i/public_html/index.php; done|more Следовательно, злоумышленники могут читать не только index.html, а еще и .htaccess, index.php, а затем уже и includes/config.php и т.д. Потом, в результате сканирования файлов по ключевым словам, в чужие руки попадают учетные записи. Далее, остается только найти способ закачки скрипта, через какое-то приложение. К примеру, если это CMS система, php шаблоны которой можно править через WEB интерфейс, а исполняемым скриптам позволено что-то закачивать на сервер, то дело сделано. IMHO это всеобщая беда некоторых готовых решений. Разработчики хостинговых систем как-то упустили этот момент, но, тем не менее, поразительны действия администраторов, которые не обращают на это внимание. Из сочувствия к ним, список готовых решений, которые по умолчанию помогают установить такие права к директориям на сервере, приводить само собой не буду.

T

257

torg

24 ноября 2006, 03:33

#11

Как с эти обстоят дела в Русониксе? Там HSP. Я там хостинг покупаю.

822

Andreyka

24 ноября 2006, 05:52

#12

kostich:
1. Чем они плохие?
2. Из под кого должен быть запущен web-сервер, что бы с такими правами читать из этой директории?

1. Они не гарантируют сохранность информации. Если владелец поставил 777/666 то он конечно дурак, но если там 700/600 - это гарантия

2. Из под владельца директории например. А вообще есть варианты.

Не стоит плодить сущности без необходимости

K

223

kostich

24 ноября 2006, 08:58

#13

Andreyka:
1. Они не гарантируют сохранность информации. Если владелец поставил 777/666 то он конечно дурак, но если там 700/600 - это гарантия

права на диру rwxr-x---, в группу входит uid веб сервера... скрипты исполняются под owner... каким образом права на файлы внутри директории могут на влиять на попадание в эту директорию посторонних uid?

Andreyka:

2. Из под владельца директории например. А вообще есть варианты.

Т.е. каждому пользователю по персональному Apache?

проверенная ддос защита (http://ddos-protection.ru) -> http://ddos-protection.ru (http://ddos-protection.ru), бесплатный тест, цена от размера атаки не зависит.

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

822

Andreyka

24 ноября 2006, 16:33

#14

1. Потенциальная опасность в таких правах есть. 600/700 потенциально защищены

2. Можно каждому пользователю, если другие технологии неприемлимы

K

223

kostich

25 ноября 2006, 11:56

#15

Andreyka:
1. Потенциальная опасность в таких правах есть. 600/700 потенциально защищены

А что там такого потенциального? 🚬

Andreyka:

2. Можно каждому пользователю, если другие технологии неприемлимы

какие другие?

Дзен реализовал для авторов возможность вывода денег через СПБ

Что делать, чтобы попасть в ответы Google Bard