Комментарии - Himiko - Профиль вебмастера - Форум об интернет-маркетинге

20 декабря 2010, 19:42

Den73:
Мы не используем ProFTPD (он мне изначально не понравился).

Он никакого отношения ко взлому не имеет) На него я просто указал как на ещё одну потенциальную уязвимость.

20 декабря 2010, 19:35

Den73:
Himiko,

Красявый поступок. :)

Нынче хостеры торопятся.

Поверьте, у вас тоже это сработает скорее всего.

Т.е. есть потенциальная возможность открывать сайты других клиентов сервера. (и никакие там fastcgi или cgi от имени юзеров на спасают).

Надёжный хостинг от ns-center.ru

20 декабря 2010, 18:53

Поверьте, огромное количество хостеров подвержены такой проблеме. И сейчас пошла волна взломов.

Самое главное - не храните никогда сайт и биллинг на том же сервере, где и клиенты!

Сервер с биллингом должен быть неприступен со всех сторон. Не нужно экономить... Хотя бы на VDS отдельный посадите.

Кто хочет проверить свои сервера на уязвимости и закрыть проблему, пишите в ICQ (уже не бесплатно :))

Надёжный хостинг от ns-center.ru

20 декабря 2010, 18:26

Уважаемый.

Пожелание для вас - меняйте администраторов.

1. У вас используется уязвимая версия proftpd.

2. Без проблем можно получить доступ к файлам любого пользователя сервера.

Для примера, данные доступа к базе вашего сайта: (конфиденциальная информация закрыта звёздочками)

<?php
class JConfig {
var $offline = '0';
var $editor = 'tinymce';
var $list_limit = '20';
var $helpurl = 'http://help.joomla.org';
var $debug = '0';
var $debug_lang = '0';
var $sef = '1';
var $sef_rewrite = '1';
var $sef_suffix = '1';
var $feed_limit = '10';
var $feed_email = 'author';
var $secret = '************';
var $gzip = '1';
var $error_reporting = '-1';
var $xmlrpc_server = '0';
var $log_path = '/www/******/data/www/ns-center.ru/logs';
var $tmp_path = '/www/*****/data/www/ns-center.ru/tmp';
var $live_site = '';
var $force_ssl = '0';
var $offset = '0';
var $caching = '0';
var $cachetime = '15';
var $cache_handler = 'file';
var $memcache_settings = array();
var $ftp_enable = '0';
var $ftp_host = '127.0.0.1';
var $ftp_port = '21';
var $ftp_user = 'admin';
var $ftp_pass = '';
var $ftp_root = '';
var $dbtype = 'mysql';
var $host = 'localhost';
var $user = 'v***a';
var $db = '***';
var $dbprefix = 'jos_';
var $mailer = 'mail';
var $mailfrom = 'admin@ns-center.ru';
var $fromname = 'NSC-Р’Р°С? Р»СѓС‡С?РёР№ РҐРѕСЃС‚РёРЅРі';
var $sendmail = '/usr/sbin/sendmail';
var $smtpauth = '0';
var $smtpsecure = 'none';
var $smtpport = '25';
var $smtpuser = '';
var $smtppass = '';
var $smtphost = 'localhost';
var $MetaAuthor = '0';
var $MetaTitle = '1';
var $lifetime = '15';
var $session_handler = 'database';
var $password = '2******A';

3. Так же можно без проблем получить рутовый доступ к серверу, но мне это не нужно. (он спокойно себе хранится в базе биллинга, куда доступ можно взять из конфигурационного файла)

P.S.: Ничего на сервере не трогал, просто показал вам на ошибки, пока не поздно. Сейчас многих хостеров взламывают подобным образом, поэтому защититесь заранее!!

Все подробности с удовольствием вам расскажу в ICQ 392-395, чтобы вы могли защититься от подобного.

Помогите Пожалуйста Спецы! Вопрос о Хостинге

20 декабря 2010, 17:08

Тигран Бароян:
И все таки, не могли бы Вы ответить - который из них может выдержать 100.000+ хостов в день если сайт на dle?

Это как "за какое время машина доедет из точки А в точку B, если машина BMW" =)

Помогите Пожалуйста Спецы! Вопрос о Хостинге

20 декабря 2010, 15:16

А по-моему:

1. От 0 до "дофига". Никогда нагрузка не измерялась в посещаемости или хитах. Каждый сайт создаёт разную нагрузку.

2. Не стоит у них брать VPS =)

Качественный хостинг от 60р

20 декабря 2010, 13:39