Xpoint
   [напомнить пароль]

Безопасность на shared-хостинге

Метки: [без меток]
2006-02-01 00:38:25 [обр] wiktar(0/20)[досье]

Долгое время размещаюсь на shared-хостинге за $5/мес.
Сайт: скрипты вывода страничек, форум phpBB, фотогалерея.

Сверхсекретной информации нет, только репутация в форуме (это очень важно) и вообще его работа.

Однажды форум взломали. Видимо SQL-инъекция, т.к. файлы не повредили, а вся База была стёрта и в нём был добавлен другой дизайн. Корил, винил себя, т.к. не обновлял форум очень долго.

Но, не вопрос. Из бэкапа Базы всё было востановлено, форум обновлён, всё класс. Но вдруг, заметил в каталоге с аватарами странные файлы... php-скрипты.. Гм. Ба! Да это же бэкдор-троян! PHP-скрипт, который работает как ssh... Ёмоё! Кто это поставил! Когда??! Пользовались ли этим???

... После обсуждения на форуме phpBB, пришли к выводу, что либо использовалась старая уязвимость в форуме, либо форум здесь не причём. А всё дело в том, что каталогу с аватарами нужны права на запись. Т.о. это был единственный каталог, о котором было точно известно, что в него можно писать, т.к. форум распространённый.

Я взялся за анализ сервера.

Ба... ... кхм. В общем, как оказалось, используя кое-какой приём, я могу получить доступ ко всем файлам в public_html того же сервера, на котором я размещаюсь... Все пароли к БД, исходники PHP-скриптов... Вот те раз!

Обиднее всего было то, что среди этих потенциальных "жертв" был и мой аккаунт. И любой, взявший хостинг за $5 на месяц, мог слить всю информацию с моего аккаунта, влезть в мою Базу, писать от моего имени... В общем, сами понимаете.

Как решение проблемы я вижу переход на VPS, либо же вообще colocation. Но, пока сайт ещё не "дорос" до... Траты таких денег.

Выходит, что любой shared-хостинг подвержен такой проблеме?
Либо есть какие-то способы защититься?

Что же делать?

спустя 39 минут [обр] Александр Лукьянов(3/781)[досье]
Как вариант — найдите хостинг с PHP в safe_mode — таких, мне кажется, подавляющее большинство сейчас.
Safe_mode — какая-никакая (кривая, на самом деле), но защита от чтения файлов из других аккаунтов и пр.
Если разрешаете загружать картинки — удостоверьтесь, что пришла именно картинка, иначе опять загрузят скрипт, и тот вывалит print_r($GLOBALS) и print_r(get_defined_constants()) кому ни попадя и прощай пароли к БД — тут уж никакой safe_mode не спасет. Запретите исполнение скриптов в директории для картинок и т.п.
В общем — станьте параноиком :)
спустя 9 часов [обр] Eugene Efremov(0/68)[досье]
Долгое время размещаюсь на shared-хостинге за $5/мес.
...
Как решение проблемы я вижу переход на VPS, либо же вообще colocation. Но, пока сайт ещё не "дорос" до... Траты таких денег.
Вообще-то, за те же $5/мес сейчас спокойно можно найти виртуальный сервер...
спустя 1 день 5 часов [обр] avm[досье]

Эту тему автор начал обсуждать вот тут: Троян в каталоге avatars! (26.01.2006)
  http://phpbbguru.net/community/viewtopic.php?t=7221

А вот тут она продолжена им же: Безопасность на shared-хостинге
  http://phpbbguru.net/community/viewtopic.php?t=7356

Там же есть конкретное предложение (оно касается не только phpbb) по этому поводу.

Powered by POEM™ Engine Copyright © 2002-2005