 |
Форум вебмастеров на AlfaSpace.NET / Служба спасения 911 / Админ, я в шоке!!! |
| . 1 . 2 . >> |
| Автор | Сообщение |
| SapienS Участник  760 |
# Дата: 5 Авг 2005 09:14 ° Поправил: Администратор спасибо за инфу. но её лучше слать по мылу, хотя ничего секретного в ней и нет админ |
| esCUnknown Участник 211 |
# Дата: 5 Авг 2005 09:31 ogo, horowo 4to sovest' zastypilas' :D |
| dimon3000 Участник  33 |
# Дата: 5 Авг 2005 09:32 Нада было на мыло слать. А то народ прочитает и займётся... |
| esCUnknown Участник 211 |
# Дата: 5 Авг 2005 09:34 kstati da.. SapienS potri 4toli topic, poka ne pozdno :D |
| Dezept1p Участник  370 |
# Дата: 5 Авг 2005 09:36 ° Поправил: Dezept1p da tyt stoko dir esli xo4e6j znatj :) samie prostie i to estj :) i v etom ploxo |
| Troopers Участник 100 |
# Дата: 5 Авг 2005 10:38 Мда... Полная #опа, млин. SapienS Тыб ещё подробнее всё расписал. В качестве инструкции для начинающих хацкеров. А эту инфу на мыло хэлперу или админу не судьба отправить? |
| SapienS Участник 760 |
# Дата: 5 Авг 2005 11:01 Нет!!! Народ должен знать с чем имеет дело... да и админу впрок... |
| SapienS Участник 760 |
# Дата: 5 Авг 2005 11:08 Troopers В том, что я написал нет ничего хакерского, эти команды знает каждый линуксоид :-] |
| Анна Участник  2898 |
# Дата: 5 Авг 2005 11:08 Хелпер, вы по-прежнему мне будете говорить о правах и о возможном сценарии взлома? А я вам поверила. |
| SapienS Участник 760 |
# Дата: 5 Авг 2005 11:11 Anna Хелперы они такие :-) не верь им :-))))) |
| admin powered by admin  7218 |
# Дата: 5 Авг 2005 13:59 SapienS спасибо за инфу :) лучше её действительно слать на мыло. то чо конфиги можно прочитать это давно уже есть. вопрос в другом, кто там что-то сможет изменить (поэтому мы и не рекомендуем ставить пользователям 777 права) |
| admin powered by admin 7218 |
# Дата: 5 Авг 2005 13:59 Anna Хелпер, вы по-прежнему мне будете говорить о правах и о возможном сценарии взлома? А я вам поверила. я читал вашу с ним переписку, хелпер всё очень грамотно расписал. если вы внимательно ещё раз прочтёте её, то поймёте в чём ваша ошибка была |
| Анна Участник 2898 |
# Дата: 5 Авг 2005 15:24 admin Если вы внимательно прочитали чужую переписку, то должны были увидеть, что я поняла хелпера. Все дело в том (по его словам), что у меня пара php-файлов была с правами 777. Я не спорю. Сценарий, который хелпер привел - вполне реальный. Проблема в том, что вы не захотели узнать точный сценарий. Ок, теперь у меня с правами - не подкапаешься. to all Если взломаете http://psiholog63.alfaspace.net/forums/ то хелперу, кажется, мне нечего будет сказать? |
| esCUnknown Участник 211 |
# Дата: 5 Авг 2005 15:30 xex, SapienS, zaimis' ;) |
| admin powered by admin 7218 |
# Дата: 5 Авг 2005 15:37 Anna дык давайте помогать нам тоже немножко, господа пользователи. у наших клиентов стоит куча разных скриптов на хостинге и исследовать в каждом уязвимости просто нету времени. в силу наших возможностей мы даём общие рекомендации как избежать взломов. если будет инфа что в каком скрипте нужно что закрыть, то само сабой мы её будем публиковать и будем весьма благодарны за оказанную помощь в поисках дырок в скриптах наших клиентав. |
| admin powered by admin 7218 |
# Дата: 5 Авг 2005 15:38 Anna плиз поставь на индексе http://psiholog63.alfaspace.net линк на свой форум, а то при проверке пусой индекс может восприниматься как неактивный акк |
| Анна Участник 2898 |
# Дата: 5 Авг 2005 15:53 admin 1. Ок. 2. Ок. |
| Анна Участник 2898 |
# Дата: 5 Авг 2005 16:52 admin Вы уж меня извините, я все же вернулась ответить... Ничего не могу с собой сделать - вспыльчивая. По вашему топику: Смешно валить ВСЕ на права и уверять юзеров, что дела с безопасностью на хосте обстоят лучше, чем в других местах, когда все видели верхний пост темы. у наших клиентов стоит куча разных скриптов на хостинге и исследовать в каждом уязвимости просто нету времени Я не просила вас исследовать уязвимости ExBB. Но, ИМХО, это дело саппорта узнать точную причину ЧП, а не заниматься копипастом текста про CHMOD. Если бы о вашем хостинге шла слава, как о надежном и хорошо защищенном, то и разговор был бы другой. Странно не допускать и мысли, что виноваты можете быть вы сами. Можете не отвечать, мне ваша позиция понятна. И я даже понимаю вас. Единственное что - радуюсь, что у меня все же есть свой платный хостинг. И пусть попробует там кто-нибудь ls -la /etc В общем, немножко вы.. эээ... потеряли лицо, благодаря SapienS. Ну и отсутствие внятного комментария тоже добавило дегтя. |
| admin powered by admin 7218 |
# Дата: 5 Авг 2005 17:11 Anna так по-порядку: 1) то что сапиенс запостил тут - это не дыра. это фича. при её помощи можно посмотреть список сайтов и файлов. если на файлах не стоят кривые права то никто ничего сделать не сможет. проверено электроникой. 2) точная причина на 95% была указана хелпером. проблема была в неверно выставленных правай на файлы и дириктории, этому и посвещался данный его трактат 3) с апреля месяца (когда нас сильно ломали) особых прецендентов в уязвимости замечено не было 4) мы всегда допускаем мысли о том что косяк может быть на нашей стороне, но в вашем случае была типичная проблемма с неверными правами, о чём и писал хелпер огромный мессга, но как видимо зря. нужно было ему эт осделать покороче и попроще 5) я тоже вас понимаю с платным хостингом. 100% согласен что платный хостинг и лучше и надёжней чем бесплатный. поэтому они и есть - платные хостинги :) 6) я уже боюсь Вам давать внятные развёрнутые комментарии, потому что они проходят как я вижу, мимо ушей (на примере с трактатом хелпера) |
| esCUnknown Участник 211 |
# Дата: 5 Авг 2005 17:18 admin, eee a mojno traktat by helper v stydiu? =] |
| admin powered by admin 7218 |
# Дата: 5 Авг 2005 17:26 esCUnknown admin, eee a mojno traktat by helper v stydiu? =] трактат был написан для Anna поэтому постить сюда его не вижу смысла |
| esCUnknown Участник 211 |
# Дата: 5 Авг 2005 17:36 "2) точная причина на 95% была указана хелпером. проблема была в неверно выставленных правай на файлы и дириктории, этому и посвещался данный его трактат " mne kajetsia eta 4ast' traktata ne tolko anny kasaetsia =] |
| admin powered by admin 7218 |
# Дата: 5 Авг 2005 17:39 esCUnknown mne kajetsia eta 4ast' traktata ne tolko anny kasaetsia =] это касается всех, поэтому в сабфоруме Служба спасения 911 висит топик ExBB форумы (Всем владельцам ExBB форумов, сюда...) http://forum.alfaspace.net/index.php?action=vthread&forum=1&topic=825 |
| SapienS Участник 760 |
# Дата: 6 Авг 2005 00:13 admin ls -la /usr все ещё исполняется. Неужели так сложно урезать всем права, кроме root`a на чтение каталогов? Ведь /home я прочитать не могу... |
| SapienS Участник 760 |
# Дата: 6 Авг 2005 00:16 Anna Так что, даешь зеленый свет на взлом http://psiholog63.alfaspace.net/forums/ ? Если взломаю, ничего менять не буду, а все выложу в этом топике! Приступаем... |
| Анна Участник 2898 |
# Дата: 6 Авг 2005 03:59 ° Поправил: Администратор Ann pliz думай что постишь перед тем что постишь админ |
| SapienS Участник 760 |
# Дата: 6 Авг 2005 04:36 Да Anna! Сразу видно психолог >:-)) Нельзя говорить о безопасности однозначно. Все зависит от обстоятельтсв. Способов для взлома - сотни! Какие-то там 777 права - это ещё не самое худшее, что может случиться. Ну сделает дефейс сайта - хостингу от этого ни жарко ни холодно, потому что доступ будет к юзверьским файлам. Меня больше волнует другое: 1) ФТП демон: ProFTPD 1.2.10. Админ, ты поставил патч от ProFTPD 1.2.x remote users enumeration bug??? 2) Чтение некоторых каталогов, например, /tmp. Там можно найти пароли от фтп или mysql. |
| Анна Участник 2898 |
# Дата: 6 Авг 2005 05:41 OFFTOP: SapienS Я не психолог и даже близко =) Просто знакомому помогаю с форумом и прочим. |
| fIREz Участник 205 |
# Дата: 6 Авг 2005 06:18 А в чем дело-то?.. |
| Neformat Участник 132 |
# Дата: 6 Авг 2005 06:43 Это не вина хостинга, а его преимущество По-моему вина и преимущество - разные вещи. Нельзя их сравнивать. А что до взлома - взломать можно все. |
| . 1 . 2 . >> |
![[Valid RSS]](valid-rss.png "Validate my RSS feed")