Skip to main content

О том, почему я съехал с виртуального хостинга

By 11 августа 2016Blog

Здарова!

Долгое время мой блог находился в shared хостинге у одного из российских провайдеров. Из плюсов — низкая цена, а так как стоимость рубля оставляла желать лучшего, пользоваться чем-то типа digitalocean было достаточно накладно.

Но в какой-то момент блог упал и выдавал только ошибку 500. После общения с службой поддержки, стало совсем грустно…

Интересно… У виртуальных хостингов много security недостатков, но блог не несет большую ценность, особенно при наличии бэкапов. Может они обратили внимание на wso2.php в корне сайта?

На самом деле у меня залит скрипт с выполнением произвольного кода, но с паролем и в далекой директории, так как данный тариф («Блог») не подразумевает предоставление FTP, SSH или какого-либо другого способа редактирования файлов. Я зашел через него и понял — у корневой директории просто отобрали права. Но есть одно НО.

Выходишь в директорию /home/ — есть права доступа к другим сайтам!

Забавно, правда? Могу получить доступ к 443 «соседям», но не могу зайти в свою директорию. Нашёл там блог Raz0r’а, папочку lifehacker.ru (они на тот момент съехали оттуда, но видимо хостились там), ну и кучи прочих.

А быть может доступен только листинг? Не-а, файлы конфигурации, например, читаются:

Божечки кошечки! Пишу в поддержку — ребята, хватит ворошить бэкапы, зовите сисадмина, тут такое! Я могу смотреть чужие сайты, а свой — нет.
Прикладываю скрины.

Но ответ опять не радует…

Ну вот. Теперь и заблокируют… А ещё рекомендуют использовать плагин webftp, который обладает такой же функцией, как и wso 😀

Что делать? Пора съезжать. Сказано — сделано. Позже блог восстановили, но осадок остался. Вот так я перестал использовать виртуальный хостинг.

P.S. Спасибо Сергею Белову, за то, что выручил и поселил меня.

P.P.S. Ну и расскажу, кто еще не вкурсе о vscale — виртуальный сервер в Москве или Санкт-Петербурге за 200 рублей в месяц. Рефералка даст 400 рублей на баланс 🙂

Join the discussion 7 комментариев

  • Ranara:

    https://www.youtube.com/watch?v=tt9S2Oqcn5w
    Привет из 2010. Агава на ошибка не очень учится видимо 🙂

    • xvitaly:

      Agava такая Agava. Я пользовался их услугами ещё в 2010 году, тоже по тарифу Блог, и данная уязвимость имела место быть. Я сообщал им в саппорт, но они сказали, что всё у них настроено правильно. Как видим, не исправили дыру до 2016 года.

  • outh:

    Да у многих хостеров проблемы с безопасностью. А бывает даже интереснее, когда в виртуалку прилетает служебный мультикаст, vrrp, например. Или открыты всему миру ssh на свичах. Ну вскале тоже имеет косяки, но они не такие страшные хотя бы. Они наверное лучшие сейчас по цена/качество и не оверселят похоже.

  • Давно знал про этот баг)

  • aLLy:

    «ПереАдана проблема. Если вы его не удалить, мы вас заблокировать»
    Ну по стилю письма и ошибкам прекрасно видно кто там работает. Молодые щёголи рубят капусту за предоставление плюшевого, ненадежного сервиса. Ни о каких проблемах никогда не слышали, все у них настроено чётко, только они умные, а вокруг дураки все. Публичная оферта головного мозга, одним словом.
    Правильно сделал, что свалил..
    К сожалению, проблема многих шаред хостингов.

  • А ты думал на vps безопасность будет выше? 😀 Это не факт вообще. Некоторые хостеры настолько дырявые, что у них можно получить админский доступ к биллингу, например. И не важно насколько защищён твой впс — если заломать биллинг то во многих случаях можно получить доступ к виртуалке клиента. Скажу по секрету: любой хостер на софте от ISPsystem дыряв чуть меньше, чем решето.

  • Alex:

    Хуйня, не дали бонус

Leave a Reply