Внимание! Форум временно закрыт. Все вопросы вы можете задать на странице MaxSite CMS в Github

Проблема безопасности на виртуальных хостингах...

Свободное общение.
Аватар пользователя
Larin
Сообщений: 32
Зарегистрирован: 11 фев 2010, 08:31

Проблема безопасности на виртуальных хостингах...

Сообщение Larin » 11 ноя 2013, 02:57

Здравствуйте!
Появилась важная проблема! (касается всех виртуальных хостингов)
У меня на виртуальном хостинге в аккаунте есть несколько сайтов, к некоторым из них открыт FTP доступ для владельца сайта, естествено только в директорию самого сайта, выше своего сайта по директориям подняться FTP пользователь не может. Но, если он закачает на свой сайт любой из PHP файловых менеджеров например тот же http://cker.name/webadmin/ то сможет гулять по папкам вверх вплоть до корня и иметь доступ ко всем файлам в моем аккаунте. Получается все скрипты в разных сайтах могут гулять по папкам до директории которая указана в параметре PHP: open_basedir (данный параметр пользователю преопределять нельзя)

1. В результате получается, если взломают один сайт, то залив шел будет доступ ко всем сайтам в аккаунте.
2. Достаточно создать одного FTP пользователя с ограничеными правами, и он сможет залить шел в любую папку, запустить его через web и получить доступ ко всем файлам.

Сразу скажу, ни один из хостеров не предлагает решение проблемы, мало того, говорят это не реально и предлагает перейти на VPS.

Но все же хотелось бы узнать есть ли какой-то "костыль" для подобных дел?

Аватар пользователя
searchingman
Модератор
Сообщений: 1392
Зарегистрирован: 28 май 2012, 16:02

Re: Проблема безопасности на виртуальных хостингах...

Сообщение searchingman » 11 ноя 2013, 09:53

Larin писал(а):Сразу скажу, ни один из хостеров не предлагает решение проблемы, мало того, говорят это не реально и предлагает перейти на VPS.

Но все же хотелось бы узнать есть ли какой-то "костыль" для подобных дел?

Правильно говорят.

А если по делу, то:
1. По возможности, не пользуйтесь FTP, лучше SFTP. Некоторые хостеры уже предлагают.
Или заливайте файлы через админку хостера, которая, как правило по https.
2. Не заливайте сомнительные скрипты (файловые менеджеры и т.д.), если не знаете как они работают.
3. Ограничивайте по IP доступ к админкам своих проектов. Многие хостеры рекомендуют.
4. Самое важное.
Имейте актуальные ежедневные архивные копии своих проектов. Желательно иметь их за пределами своего хостинга.


Вернуться в «Курилка»

Кто сейчас на форуме

Пользователь просматривает форум: нет зарегистрированных пользователей

cron