Не буду сейчас описывать ГРОМАДНЫЙ список HSP с правами к клиентским директориям по данной схеме. Хочется лишь напомнить их клиентам, что многочисленные "ботнеты", с помощью которых организуют DDOS атаки, очень часто пополняются с помощью закачки на такой вот хостинг какого-то скрипта, за счет типичной ошибки в организации доступа к файлам и директориям других клиентов.

Если администраторы вашего хостинга считают, что из директории другого клиента, права на которую установлены в "r-x--x--x", нельзя читать файлы, то они глубоко заблуждаются. Если они считают, что запрет на чтение, к примеру, "/home", помешает узнать список домашних директорий, то они не знают элементарных вещей.

Любой клиент такого хостинга может зайти под своим SSH-аккаунтом, а потом, к примеру, дать такую команду:

for i in ls `cat /etc/passwd|awk -F ":" '{print $6}'`; do cat $i/public_html/index.html; done|more

Разумеется, злоумышленники могут читать не только index.html, но и .htaccess, index.php, а затем уже и includes/config.php и другие файлы с более-менее стандартными именами. Потом, в результате сканирования файлов по ключевым словам, в чужие руки попадают учетные записи. Далее остается только найти подходящее приложение для закачки скрипта. К примеру, если это CMS система, php-шаблоны которой можно править через WEB интерфейс, а исполняемым скриптам позволено что-то закачивать на сервер, то остальное лишь дело техники.

IMHO это всеобщая беда некоторых готовых решений. Разработчики хостинговых систем как-то упустили этот момент, но, тем не менее, поразительны действия администраторов, которые не обращают на это внимание. Из сочувствия к ним, список готовых решений, которые по умолчанию помогают установить такие права к директориям на сервере, приводить само собой не буду.

обсудить  |  все отзывы (10)
Выберите оценку 10 (изумительно) 9 (отлично) 8 (хорошо) 7 (неплохо) 6 (средненько) 5 (сойдет) 4 (так себе) 3 (слабо) 2 (плохо) 1 (отвратительно) Вернуться в раздел Перейти к рейтингу Перейти к обсуждению Вернуться к статье	[40843; 24; 7.08]