Безопастность В Ваших Руках R1

[Тень 45]

Данная статья предназначена для обращения внимания администраторов серверов на безопасность ваших серверов, ведь она - в ваших руках! Выпуск №1.

 

 

Как вы уже наверное заметили, многие сервера становятся жертвами взлома. Проблема не нова и методы взлома - аналогично, свежестью не пахнут.

Хотелось бы с вами рассмотреть самые распространенные ошибки, допускаемые администраторами, которые влекут за собой потенциальную проблему безопасности серверов.

 

Ошибка №1. Расположение сайта на хостинге[/b].']Да да, это не миф и не выдумка извращенцев. Большинство начинающих и среднего уровня администраторов не задумываясь над серьезностью этой проблемы попадают в не приятную ситуацию. Проблемной является то, что большинство хостинг-компаний не так сильно пекутся о разделении прав пользователей, так как они убытка от этого не несут и доказать им что-либо теоретически не возможно(ну увы, хозяин-барин - все у них, логи и прочее). Самый простой пример взлома вашего сервера - это удаленный доступ к базам вашего сервера. Модель действия хакера - проста, в первую очередь он может запросто определить на каком хостинге расположен ваш сайт(нейм-сервера, на худой конец - ip), а далее - взять хостинг-аккаунт там же. Весь подвох в том, что чаще всего на 1 сервере расположено не менее 2 сотен так называемых "хостинг-аккаунтов", и на самых популярных, подрастающая часть школьного поколения "хакеров" имеют свои заранее купленные такие же как и ваш, хостинг-аккаунты(а почему бы и нет, ведь особо продвинутые "подростки" зарабатывают этим себе на булочки в столовой). Далее дело просто, разоблачить путь от корня ваших скриптов(делается это в 2-3 клика, вызвав ошибку на вашем сайте или форуме) и заполучить так называемый "shell" доступ(это чаще всего права на "read") к файлу конфигов. Эта проблема сложна тем, что ваши скрипты по сути могут и не иметь уязвимости, они не нужны "хакеру".

 

Далее так называемый взлом заканчивается еще проще - ведь даже если вы ограничили доступ к базе вашего сервера по IP-у сайта, у хакера - аккаунт на том же хостинге, а следовательно - имеет такой же "OUTPUT" ip-адресс.

 

Данный взлом производится в течении 3-10 минут, как бы это плачевно не звучало. От себя добавлю, что такие проблемы с разделением прав у хостеров чаще всего встречается у "хостеров lineage 2"(определенного круга), т.к. они слабо знакомы с хорошей настройкой *NIX-систем(потому что сами занимались всегда тем же что и вы, и просьба к вам горе-хостеры - оставьте услуги предоставления хостинга тем, кто в этом разбирается).

 

Совет: использовать VPS-сервера или budget dedicated сервера под сайт. За 10-15 у.е. можно найти не плохой VPS-сервер, достаточный для работы вашего сайта. Не правда не слишком отличается от цены вашего хостинга?

 

Ошибка №2. Расположение форума там же, где и скрипты сайта.[/b]']

Данная проблема актуальна не менее чем проблема №1. Держать "большое кол-во кода"(форум), чаще всего пиратского(nulled) там, где расположены данные доступа к удаленной бд - кощунство. В скриптах форума, поверьте, уязвимость найти гараздо проще, чем в скриптах сайта(а все просто - посмотрите на кол-во кода, за всем не уследишь), если не верите - откройте хотя бы тот же античат или другие форумы обитания данной области злодеев и гляньте разделы уязвимостей форумов, учитывая что это только 10-ая часть их, которую самые чаки смельчаки выложили в паблик.

Так же не логично держать форум там же где и сайт из-за большой нагрузки, создаваемой самим форумом(поверьте, те 3-8 запросов с сайта + кеш ничто, по сравнению с 40-80 запросов форума по каждому "пуку" напару с тяжелыми запросами и объемом базы форума).

Совет: под форум купить где-либо хостинг или vps, но не держать на том же VPS где и сайт. Даже если взломают форум, дальше головы они не прыгнут и поверьте, потерять форум не так печально как весь проект.

 

'[/b]Ошибка №3. Использование "nulled" cms.']

Данная проблема так же не менее актуальна чем 2 выше приведенные. Не хочу рассматривать отдельных авторов "nulled" версий. Хотелось бы затронуть нечто, что лежит глубже - мотивацию. Кто по вашему делает "nulled" версии тех или иных скриптов? Да, всех их мы смело поделим на 2 группы - опытные "крякеры" и прогрессирующие "студенты"(не хочу употреблять слово школьники). Так вот, первые - делают "nulled" версии для выгоды(ну а кто по вашему работает бесплатно?) - такой тип "нуллеров" сделают "дырку" там, где вы ее не найдете, или сделают их не 1 сотню и вы хотя бы 1 из них точно упустите(опять все упирается в объем человеко-кода). Так вот после нахождения своей "нуллед" версии, данный тип людей получит с вас прибыль - взломает, сольет данные или попросту "сделает себя админом" на вашем сервере и получит из этого прибыль(продаст вещи или аналогично). Когда же ваш проект станет не актуальным он не упустит момент поглумиться над вами. Второй же тип людей - смелые чаки студенты, делающие "nulled" версию на интузиазме, из-за низкой степени профессионализма в программировании(будь то php или иной язык) - обязательно упустят что-что, что в скрипт заложил умный разработчик на защиту от таких смелых чаков студентов. В итоге - опять же пострадаете вы.

Совет: пожалел 20-30$? Не зачем пинать на тех кто сделал "nulled" или продукт, ибо вы эгоист и еврей.

 

Автор: zenn