Вы уверены в используемой вами CMS/CMF или же при написании кода вашего веб-проекта были очень осторожны? Но насколько вы доверяете своему виртуальному хостингу? Ведь по личному опыту могу сказать, что поиск вашего уязвимого «соседа» занимает не более получаса.

Помогая людям в неравной борьбе с безопасностью их проектов, мне неоднократно приходится сталкиваться с хостинг-провайдерами. И знаете, меня вводит в ужас текущее положение дел с их безопасностью. Чем вы руководствуетесь при выборе виртуального хостинга? Их рассказами в промо? Их количеством пользователей? Да чушь это все. Не верите мне? — Смотрите сами!

Часть один, или давайте посмотрим хостеру в глаза!

Пример номер один
Буквально вчера проверял сайт одного пользователя, хостинг у него оказался Украинский, 21 сервер из найденных мной, население на каждом сервере примерно 2-2,5к пользователей. Итого получаем минимальное количество интернет ресурсов размещаемых у данного хостера — 42000. «Забороть» сайт его студии мне не удалось, как оказалось там кроме html`ек больше ничего и не было.

Что ж, подумал я, пойдем старым дедовским способом — через хостера. Посмотрел список сайтов, хостующихся на том же сервере, и буквально через третий-четвертый ресурс попал на хостинг. Тут-то волосы и начали подниматься в состояние «дыбом». Как оказалось, вся безопасность хостинга заключалась в указании open_basedir. Более никаких ограничений для злоумышленника — выполнение внешних приложений разрешено, доступ к папке с пользователями разрешен, доступ к файлам пользователя разрешен. Получается, что абсолютно любой может спокойно скомпрометировать все 42000 ресурсов, хостующихся тут, и к большей части получить вовсе полный доступ.

Пример номер два
Как-то обратился ко мне человек «приятной наружности» с просьбой проверить его сайт на предмет взлома. В итоге, залив шелл ему на сайт, я решил проверить и его хостинг — российский виртуальный хостинг, 24 сервера из найденных мной, население на каждом сервере примерно 1,5к — 3,5к пользователей. Итого получаем минимальное количество хостующихся ресурсов 36000. Войдя в шелл, тут же пробовал просмотреть список файлов и директорий корня — ls, благополучно вернул список. Обнадежевшись, попробовал просмотреть папку с пользователями — тут менее благоприятный исход.

Хмм… смотрю в каталог с конфигами апача, и оказывается есть доступ на чтение каталога настроек виртуальных хостов. cat * | grep Root и список директорий, в которых лежат файлики площадок, у меня в руках. Проверяю доступность на чтение этих каталогов и снова прихожу в ужас, все читается. А учитывая тот факт, что скрипты выполняются от имени владельца площадкой, заливая шелл в любую доступную на запись папку ресурса — получаем полный доступ ко всем ресурсам данного пользователя.

Пример номер три
Тоже Российский хостинг, 13 найденных серверов, численность 0,7к — 1,5к на каждом из них. В целом хостинг использует тоже ПО, что и второй для «быстрого разворачивания виртуального хостинга». Исключение составляет то, что даже open_basedir никто не указывал, и тот факт, что выполнять php скрипты из директории доступной на запись запрещенно.

Что ж, ищу на сервере тех, кто используют joomla, MODx, etc, добавляю в список ресурсы, у которых есть доступ на запись хотя бы в один php файл, и результирую список ресурсов, к которым есть возможность получить полный доступ (таких оказалось чуть менее половины).

Часть два, или как жить дальше

Анализ хостинга дело не легкое и кропотливое, но проверить отношение хостинга к основам политики безопасности в состоянии практически любой веб-мастер. Достаточно лишь буквально часик «погуглить» на заданную тематику. Тем более я считаю, что это тоже часть их работы… учитуя тот факт, что они советуют хостинг своим же клиентам (например, студия из первого примера, все клиенты из портфолио на том же хостинге).

И так, самое первое и самое простое, что в состоянии проверить каждый — открыть phpinfo() и всмотреться! Именно всмотреться, а не пролистать длинноватый списочек. В первую очередь смотреть в сторону отключенных комманд типа «passthru», «exec» и т.д. Если скрипты выполняются от имени вашего пользователя, то смотреть с какими правами файлы заливаются на сервер. В целом, целью данной статьи не является копипаста написанного более 9к раз, посему это остается за google.

Выводы

В статье я привел лишь несколько примеров, коих на просторах уанета/рунета довольно много. Хотя и без того, получилась довольно внушительная цифра – 87100 уязвимых интернет ресурсов. Я не претендую на полноту изложения вопросов анализа виртуального хостинга, моя цель довольно проста и прозрачна — постараться еще раз напомнить о том, что о безопасности необходимо думать, что авторитетность хостинг-провайдера ничего не говорит о его отношении к безопасности.

Я не утверждаю, что не существует хорошего виртуального хостинга, безопасного и думающего. Такие хостинг-провайдеры есть, единственное — будьте бдительны, друзья!

P.S. Ради сжатия размеров статьи я умышленно рассматривал лишь случаи с отключенным SAFE_MODE, который тоже далеко не панацея. Все найденное мною было отправлено авторам интернет проектов, хостингам и всем замешанных в этом. Злостных действий, разумеется не совершалось — это вне моих принципов. Имена, извините, не могу указать даже ради пруфа, не хочу никого очернить и вызывать волны негодования. При желании пишите в ПМ — все обсудим, всем помогу (при наличии свободного времени).

PS: автор статьи dharrya