Pull to refresh

Comments 29

Хм, получается что у достаточно крупного сайта (я правильно понял?) нет своего админа и некому проследить за переездом? Кошмар!
Этой информацией, к сожалению, я не обладаю, но, видимо, так и есть.
Сайт посвящен детской тематике. Никаких спец-сервисом нет, только статьи. Соответственно и требования к администрированию — минимальны.
Несколько раз перечитал пост и ничего не понял.
В 2-х словах: Хостер переносил сайт пользователя на новый сервер. При этом забыли указать, что *.php скрипты являются таки скриптами, а не обычным текстом. Это позволило мне покопошиться в базе, найти в ней мыла админов и отправить им уведомление, что сайту торба…
Вот оно как! Вот это желательно в начало топика. И название тоже непонятное, я сначала решил было, что вы будете о лекарстве говорить «доверяй, но проверяй».
В блоге «Информационная безопасность».
Лекарства — лишь повод начать болтать =)
На счет названия вы правы, сменил. Надеюсь так будет лучше.
Так сервак же выделенный! Хостер должен был дать только пароль к SSH. Остальное клиент сам должен сделать. Или они заказали услугу по переносу? Тогда можно требовать компенсации.
Прошу прощения, но уточнить эту инфу не могу, владелец как быстро появился, так быстро и убежал. Самом интересно.
Вот ответ саппорта )
Андрей Билык: Добрый.
Андрей Билык: Хотел спросить, если я заказываю у вас выделенный сервер, настраивать его мне надо самому? Или можно у вас заказать эту услугу?
Support: Андрей, настраиваем сервер мы
Андрей Билык: А что входил в эту настройку? php,mysql,apache?
Support: И это бесплатно
Андрей Билык: *входит
Support: Андрей, полная установка системы и необходимого ПО
Андрей Билык: Спасибо за ответ.
Андрей Билык: Добрый.
Андрей Билык: Хотел спросить, если я заказываю у вас выделенный сервер, настраивать его мне надо самому? Или можно у вас заказать эту услугу?
Support: Андрей, настраиваем сервер мы
Андрей Билык: А что входил в эту настройку? php,mysql,apache?
Support: И это бесплатно
Андрей Билык: *входит
Support: Андрей, полная установка системы и необходимого ПО
Андрей Билык: Спасибо за ответ.
Простите за повторный пост, лагаю (
От таких неверных настроек (и, наверное, от попыток взломать через какие-нибудь баги сервера) могут помочь две простые вещи, сам пользуюсь и другим советую:

1. Доступ к mysql открыт только для локального пользователя, или, если mysql-сервер на другой машине, для пользователя с web-сервера. Еще бы и на firewall неплохо настроить нужные правила, если приходится ходить по сети.

2. Все скрипты (лучше вообще все, но хотя бы конфиги с паролями и т.п.) лежат в папочке, скажем, scripts, в которой с помощью .htaccess говорится Deny From All — вряд ли этот вид защиты можно обойти кривыми настройками апача. В идеале снаружи лежит только один index.php, получающий все запросы через mod_rewrite, с одной строчкой include('scripts/main.php'); или что-то подобное.
2-й пункт можно применять на любых ресурсах. Ничего же не мешает в папку с конфигом положить .htaccess и в нем закрыть доступ к этому самому конфигу! И ведь решение простое, а еще нигде не встречал.
По 2 пункту добавлю ещё, что каталог с конфигами (и другими модулями) вообще может лежать вне www-root. Я, например, всегда так и делаю.
не «может», а должен

в полу-идеале, в wwwroot лежат
1) .htaccess
2) один скрипт для раутинга всего
3) статика

в идеале — про апач вообще забыть как про страшный сон
При кривой настройке web-сервера .htaccess может быть отключен.
При кривой настройке много плохого может повылазить. Смысл в .htaccess в том, что если повезет!, и настройка будет нормальная, это защитит ваш конфиг от чужих глаз.
Дополнительный плюсик в вопросе безопасности.
по 1 -> установленный phpmyadmin и иже с ним
по 2 -> в том же конфиге апача не стоит allowoverride и локальные .htaccess не действуют.
админы сервер настраивали «под шофе», раз не углядели такую банальную ошибку. Ошибка клиента — они не проверили результаты, за что и поплатились.
0. Я бы не стал судить людей по себе.
1. Сообщая об инциденте админам, выдержи время для залатывания дыр.
2. Подожди, пусть пропатчат, придержи желчь.
3. И снова подожди.
4. >> На мое предложение помочь, админ сообщил, что уже выясняет причины и ведет переписку.
Сообщил — молодец. Не мешай фиксить.
5.…
6.…
7. UPD2: Прошло как полтора часа, а пароли хостер так и не сменил… сессия с mysql так и висит. Посмотрим как долго это будет продолжаться…
оперативное реагирование на инциденты входит в юрисдикцию хостинг-провайдера.

Людям свойственно совершать ошибки. Как и вам, уважаемый Андрей.
Раз уж Вы опубликовали топик в Информационной безопасности, я Вам посоветую сменить пароль от почты и клиент-банка =) Причем у Вас есть 10 минут и я пишу разоблачительный топик =).

В личке распишу как, где, и почему =) И имейте в виду, такой догадливый скорее всего не я один…
1. Сообщая об инциденте админам, выдержи время для залатывания дыр.
2. Подожди, пусть пропатчат, придержи желчь.
3. И снова подожди.


А я и подождал, пока залатают, и пока владелец ресурса даст добро на статью

4. >> На мое предложение помочь, админ сообщил, что уже выясняет причины и ведет переписку.
Сообщил — молодец. Не мешай фиксить.

С чего вывод, что после этого я мешал? Догадки?

Людям свойственно совершать ошибки. Как и вам, уважаемый Андрей.

Это да, это одна из причин, по которой я не называю хостера. Всякое бывает.
10 минут вроде прошло…
Можно без деталей, просто интересно, где бывают ТАКИЕ дыры
Автору нечем заняться, поэтому написал бредовую статью.

Хостер НИКОГДА не отвечает за софт на выделенном сервере, только если это не managed сервер. А в данном случае он явно не managed, явно это никем не было сказано.
Просто владельцы сайта поленились заплатить админу и начали раньше времени переносить контент на новый сервер, или раньше времени изменили dns записи, ведь обычно сначала тестируют корректность переноса через hosts, а только затем меняют dns.
В любом случае виноваты владельцы сайта, это их халатность, незнание, отсутствие адекватного админа.
Поддержка в случае выделенного сервера обязана им предоставить только сервер и канал. Точка.
Если бы вы внимательней почитали коменты, то увидели бы, я общался с саппортом хостера. Всею настройку они делают сами, все необходимое ПО.
Кроме того, никто сам ничего никуда не переносил. Сайт переносился на другой сервер силами хостинг компании. Точка.
Вот ведь как смешно.
Ты никакого отношения не имеешь к их проекту, даже толком не можешь спросить подробности у обоих сторон, а лезешь на хабр якобы с выводами.

Где в общении с саппортом хоть одно упоминание «проблемного» сайта?
Где в общении с саппортом хоть одно слово о «переносе сайта»?
Кто ты вообще такой, если не имеешь отношение ни к проекту, ни к дата-центру? С какого перепуга они вообще с тобой должны разговаривать и что-то тебе доказывать?
Ты хоть раз сам заказывал выделенный сервер? Чтоб ты знал, любой чих кроме «автоматически поставить образ на новый заказанный сервер» стоит денег.
Судя по твоим слова «хостер» ты имел дело только с shared-хостингом.

Повторюсь: при нормально переносе доступ должен быть одновременно к старому и новому серверу, новый тестируется с помощью правки hosts, затем контент и база синхронизируются от старого к новому, на старый поднимается mod_proxy на новый ip, и только после этого меняется dns.
Здесь ничего этого не было сделано, хотя это задача команды проекта и их админа. Ни один дата-центр никогда так не будет делать бесплатно.
1) Внимательней статью прочитайте, я там описал коим боком меня это затронуло.
2) Нигде не упоминается ни «проблемный» сайт, ни хостер, по просьбе владельца сайта
3) Разговаривать они со мной должны потому, что я являюсь их клиентом, или для Вас это не аргумент?
4) Я задал конкретный вопрос хостеру, на что получил вполне конкретный ответ, исходя из которого можно сделать вывод, что вопросами настройки сервера занимается хостер.

Ни один дата-центр никогда так не будет делать бесплатно.
Вполне возможно, что оплата включена в стоимость пакета.
Я не с потолка писал разговор с саппортом, в котором мне первым делом дали понять, что настройка необходимого ПО на сервере — бесплатна.

Если Вам все-таки не верится, что это правда — я готов в личку скинуть сайт хостера, у них есть онлайн-саппорт, есть телефоны — обращайтесь…
Разговор с глухим.
1. Перед посетителем ни одна из сторон не обязана отчитываться о своих факапах.
2. В общении с дата-центром не вижу даже звёздочек, имя проблемного сайта не называлось, никаких комментарий именно о проблемном не получено, просто пространный разговор о новом dedicated.
3. Относительно проблемного проекта ты не их клиент.
4. Никакого конкретного вопроса дата-центру я не вижу. Вижу пространный вопрос о «новом сервере». Что с ним дальше делает заказчик и его админ — их лишнее дело, и дата-центр в этом никогда не вмешивается. Если админы проблемного сайта не дружат с головой и правят конфиги/ПО до такой степени, что ничего не работает, или ставят какие-нибудь панели управления, которые изменяют конфиги до неработоспособности, то это их личные проблемы, а не дата-центра.
5. Общаться надо с владельцем проекта, а не дата-центра. И то он не обязан говорить правду о своих факапах. А то вся статья только из «возможно».
Имхо — разговор со слепым.
Повторюсь в 3-й раз ссылкой на мой разговор с саппортом. Где именно непонятно, что ВСЮ настройку делает хостер и это включено в стоимость?
Та и относительно проблемного проекта я их клиент, раз меня заинтересовала информация на их ресурсе.

По п.1 — вы прикалываетесь? Если сони, к примеру, прое***ло инфу о своих пользователях — они как раз обязаны отчитаться, что компания и сделала. Если бы они просто забили — забили и на них.

Не вижу смысла продолжать тред, если вы не можете прочитать ни текст статьи внимательно, ни коменты… Удачи.

Sign up to leave a comment.

Articles