Почему лучше выбрать vps хостинг Украина, чем виртуальный

e9a9d63afd114cbb9b31020c1a515c19

 

Вы уверены в выбранной вами CMS/CMF или при написании кода вашего проекта были крайне осторожны? Однако насколько вы доверяете выбранному виртуальному хостингу?

Ведь я по личному опыту могу утверждать, что поиск вашего уязвимого «соседа» занимает на сегодняшний день не более получаса. Тех, кто работает с виртуальным хостингом, кому не безразлична его безопасность оного, прошу читать эту статью.

Почему следует выбрать vps хостинг Украина

e9a9d63afd114cbb9b31020c1a515c19 Почему лучше выбрать vps хостинг Украина, чем виртуальный

Помогая людям в борьбе с безопасностью их интернет-проектов, мне уже не один раз приходится сталкиваться с хостерами. И знаете, меня просто вводит в ужас сегодняшнее положение дел с их безопасностью. Чем же вы руководствуетесь при выборе именно виртуального хостинга? Их радостными рассказами в промо? Их числом пользователей? Это все чушь полнейшая. Не верите мне? Тогда смотрите сами!

Пример 1

Вчера проверял веб-сайт одного человека, хостинг в Украине у него оказался украинский. 21 сервер из найденных мной. Общее население на каждом сервере приблизительно 2000—2500 пользователей. Получаем минимальное число ресурсов, размещаемых у этого хостинг провайдера — 42000. «Забороть» веб-сайт его студии мне не удалось. Как оказалось там кроме html`ек ничего больше не было.

Посмотрел перечень сайтов, которые находятся на том же сервере, и через третий-четвертый веб-ресурс попал на хостинг. Здесь я и шокировался. Оказалось, что вся безопасность этого хостинга заключалась лишь в указании open_basedir. Больше никаких ограничений для хакера — выполнение внешних приложений полностью разрешено, доступ к директории с пользователями разрешен, доступ к любым файлам пользователя разрешен.

Итак, получается, что любой человек может скомпрометировать все 42000 ресурсов, которые здесь хостятся, и к большей части получить полноценный доступ.

Пример 2

Как-то ко мне обратился человек с просьбой проверить его интернет-сайт на взлом. В результате, залив шелл ему на веб-сайт, я решил проверить его хостинг — виртуальный хостинг. 24 сервера, на каждом сервере население приблизительно 1500—3500 пользователей. В итоге получаем минимальное число хостующихся ресурсов здесь 36000.

Войдя в шелл, пробовал просмотреть перечень папок и файлов корня — ls, благополучно вернул перечень. Обнадежевшись, просмотрел директорию с пользователями — здесь менее благоприятный исход. Посмотрел в каталог с конфигами апача. Оказывается, что есть доступ на чтение каталога настроек всех виртуальных хостов. cat * | grep Root и перечень папок, где лежат файлы площадок, у меня в руках.

Далее проверяю доступность на чтение данных каталогов и опять прихожу в ужас. Все отлично читается. А учитывая то, что скрипты выполняются именно от имени владельца площадкой, то заливая шелл практически в любую доступную на запись директорию ресурса — получаем полноценный доступ к любым ресурсам этого пользователя.

Пример 3

Также российский хостинг. Итак, 13 найденных серверов, общая численность 700-1500 на каждом из них. В общем хостинг использует тоже программное обеспечение, что и второй для «быстрого разворачивания шаред-хостинга». Исключение составляет тот факт, что даже open_basedir не указывали, и то, что выполнять скрипты php из папки доступной на запись строго запрещено.

Далее ищу на сервере всех тех, кто используют Joomla или MODx, добавляю в перечень ресурсы, которые имеют доступ на запись хотя бы в один файл php, и результирую перечень ресурсов, к которым можно получить полный доступ (таковых оказалось чуть меньше половины).

d6yd4 jv6MQ Почему лучше выбрать vps хостинг Украина, чем виртуальный

Вывод

Полноценный анализ хостинга дело кропотливое и не легкое, однако проверить отношение хостинг компании к безопасности в состоянии почти любой пользователь. Достаточно часик «погуглить» на эту тематику. Тем более я полагаю, что это также часть их работы, учитывая то, что они рекомендуют хостинг в Европе своим же клиентам (к примеру, студия из моего первого примера).

Самое первое и простое, что может проверить любой — это открыть phpinfo () и всмотреться. Не просто пролистать длинный список. Прежде всего смотреть в сторону таких отключенных комманд, как «passthru» и «exec». В случае если скрипты выполняются именно от имени вашего пользователя, обязательно смотреть с какими правами заливаются на сервер файлы. В общем, целью этой статьи точно не является копипаст написанного уже много раз, поэтому это остается за компанией Google

Здесь я привел лишь пару примеров, которых на просторах Сети очень много. Хотя и без того, получилась весьма внушительная цифра – 87100 вполне уязвимых интернет-сайтов. Я вовсе не претендую на всю полноту изложения различных вопросов анализа современного виртуального хостинга, моя задача прозрачна и проста — постараться снова напомнить, что о безопасности следует думать, что авторитетность хостера ничего не говорит о его отношении к принципам безопасности.

Я не говорю, что нет хорошего хостинга, думающего и безопасного. Такие хостеры есть, единственное — выбирайте vps хостинг Украина и будьте очень бдительны, друзья!


Поделитесь с друзьями



Оставить комментарий

apteka mujchine for man ukonkemerovo woditely driver.