HOSTING
19 naročnikov
19 naročnikov
Oj,
zanima me koliko je takšnih tukaj na forumu, ki imajo gostovanje pri 1€ Hostingu. Ker me zanima, ce ste tudi vi danes ostali brez vseh datotek in strani na vašem hosting računu!?
Lp
srečno vsem v letu 2010
60 odgovorov
Če shekajo enega izmed naših strežnikov pa smo "back-on-track" v rekordnem času brez izgube podatkov je tudi dobra reklama in referenca. ;)
Da ne govorimo o pridobljenih uporabnih hekerskih skriptah za podiranje strežnikov (pravzaprav že pravi mali arhiv skozi leta)... hmmm... what should we do with them? ;)
Mogoče kot prvo zavarovati strežnik da se to sploh ne zgodi? Poleg tega je grozno da se to zgodi server wide in ne user wide... (generalna napaka v dizajniranju strežnikov, se vidi da je za varnost en drek poskrbljeno) kolikor sem iz drugih postov razumel je bil impact ogromen... Sanacija: lepo da hitro sanirate zadevo (to je tudi edina pozitivna stvar v vsem skupaj), čeprav je v temelju sploh ne bi smelo biti. Kar se tiče pa "hekerskih itemov" toj en bullshit. milw0rm oz. nova stran, ki je str0ke ne fura več: http://www.exploit-db.com/ ma teh in bolj 0day zadev online vsak dan malo morje. Če le hočeš napišeš worma v pičli urci!!!! 1 urci! Če maš kolčkaj znanja iz programiranja. Tko da hvalit se s temu, slaba... Da pa ne bom kritičen samo do vas, tudi turk je mega debil... če že gre deface-jat sajte, bi se vsaj kej bl izvirnega lahko spomnu, ne pa tole. Pumpanje e-penisa, you got owned by bla bla... kot da koga briga. Včasih so mi bili defaceji bolj všeč... predvsem s smislom za humor.
C'mon... strežnik s 500+ uporabniki, kjer ima skoraj vsak uporabnik nameščeno Joomlo ali podobno "open-source" "out-of-date" aplikacijo s seveda napačnimi pravicami datotek? Pa če mi še poveš za vsaj en shared strežnik, kjer si upajo reči in dajo roko v ogenj, da ni nikakršne možnosti za podobne težave oz. napad.
UrMaN ma prav.
Lahko še toliko se zaj*** z varnostjo pri shared strežnikih je vedno velik riziko, da ima nekdo nameščen gor potencialni vhod za hackerja.
100% varnosti seveda ni, me pa zanima zakaj potem drugi hostingi niso padli pod istim "hekerjem"... je bil zabec compromisan ? je bil hostgator compromisan ? in podobni hostingi... ne da bi vedel. Torej nekje nekaj fali. Je pa res da nekatere stvari so nemogoče da bi se jim izognil ala gumblar recimo, tako da to plat tudi čisto štekam.
Mislim, da ste vsi brali novico, ko so hacknel na stran v špansko europsko predsedovanje, kjer so imeli sistem, za katerega so odšteli lepih 15 miljonov €... tako, da mislim, da če se heckerji odločijo za eno strani, NI NOBENA varna, niti strežnik ! ! !
Skazy:
Mislim, da ste vsi brali novico, ko so hacknel na stran v špansko europsko predsedovanje, kjer so imeli sistem, za katerega so odšteli lepih 15 miljonov €... tako, da mislim, da če se heckerji odločijo za eno strani, NI NOBENA varna, niti strežnik ! ! !
Seveda da ne, ampak tu govorimo o "hackerjih" ki napadejo tisto kar se ze na dalec vidi unsafe in ne tisto kar si res zelijo :) Kar je lazje :P
UrMaN, kakšno konfiguracijo PHPja pa imate, da imajo lahko userji z joomlo pravice 777 kjer jim srce poželi? :)
Kar se tiče joomle obstajata menda samo dva postopka, če je gostovanje na linux strežniku:
Na začetku si vse datoteke daš na 777 in ko končaš z izdelavo, jih ponovno spremeniš nazaj na 755. Večina ves čas uporablja joomla installer in FTP, kar s pravicami ne gre skozi. Joomla je apache, FTP pa user
Po ročni namestitvi joomle, v global configuration nastaviš FTP dostop joomle do spletnega prostora. Tako pri nameščanju dodatkov ponovno koristimo usera in ne apache.
Kakor koli, tudi drugi postopek vedno ne deluje, tako kot mora in jaz osebno vedno spremenim vse pravice na 777 in na koncu na 755 in so mi dozdaj hecknili 'samo' eno spletno stran.
Pravtako je priporočljivo, da se public FTP dostop popolnoma ukine - ftp anonymous access
lp, mitja
Sej ni to problem, problem je, da lahko 1 uporabnik dostopa do datotek drugih uporabnikov, da lahko gre izven svoje recimo /home/user1/... pa še ureja mal datoteke v /home/user2 itd.