K|NG iesūtīja visai interesantu Latnet servera analīzi.
K|NG raksta:
Pēdējā laikā šis te serveris (rausis.latnet.lv), uz kura laipni tiek hostēta mana mājaslapa nedaudz sabremzēja, un tālāk pieminētais nelāgais skripts arī darbojas, tikai ne tik vienkāršā veidā un ne tik bīstami, kā tas vēlāk atklājās uz biznesa klases servera tulpe.latnet.lv, tādēļ apsvēru domu, vai nebūtu laiks mēģināt pārvākties uz tulpe.latnet.lv (tuvāk biznesa klientiem;)), jo tomēr tas serveris izskatījās stabilāks un drošāks. Bet nu izdarīju pāris testus uz tulpe.latnet.lv servera un man mati, tā teikt, ieņēma vertikālo stāvokli.
Izrādījās, ka jebkuršs lietotājs, kuram uz tulpe.latnet.lv servera ir kāda mājaslapa, portāls, vortāls, vai kāds cits web veidojums, ar trīs rindiņu garu php skriptu var nolasīt jebkura cita lietotāja jebkuru failu un jebkura faila sourci. Zinot, ka visi lietotāji atrodas direktorijā /home/lietotajs/public_html/ (Tur ir +- 146 lietotāji).
atkāpe: “Kā tas varētu notikt? Nu, piemēram, kāds lietotājs|programmētājs nejauši pārrakstās inklūdojot|nolasot failu no savas direktorijas /home/lietotajs/public_html/ kļūdoties lietotāja vārdā 😉 Rezultātā tiek nolasīts cita lietotāja fails ;)”
Ejam tālāk? Un Tas vēl būtu mazākais, bet nolasot lietotāja direktorijā index.php|phtml|html|htm uc. failus un nokļūstot līdz Mysql datubāzes konfigurācijas failiem, kuros savukārt datubāžu konekcijas dati atrodas
nešifrētā veidā, izrādījās, ka +- 90 % klientu Mysql datubāžu paroles atbilda, bija vienlīdzīgas (==) FTP parolēm. hmz… No tā izriet, ka “nejaušs” garāmgājējs šādā veidā caur FTP var izdzēst lielāko daļu uz tulpe.latnet.lv hostētos projektus vai vēl sazinko sadarīt.
Diemžēl tā ir attieksme. Kad es gāju Tur lūgt papildus manai mājaslapai nieka 10MB tad viss notika tik oficiāli, bet te… 🙁 Tā ka pagaidām palieku uz “e-pasta” servera 😉
Un tā jautrībai tas briesmīgais skripts:<form method="post" action="post.php">
<input name="url" type="text" size="100"> šeit tiek ierakstīts piemēram /home/lietotajs/public_html/index.php
<input type="submit" name="Submit" value="Submit">
</form>
<?php
$dati=@file("$url");
while(list($line_num,$line)=each($dati)){
echo $line;}
?>
Latnets rulee..specigi 🙂
ejam, skatamies, testejam 🙂
A uz gulbis.latnet.lv ta nevar vai var izdarit?
tā vien liekas ka LATNET palūgs palīdzību TVNET un pastāv iespēja ka KING’am pataisīs sūdus. Piemēram liegs iespēju skatīties Talantu Fabriku 🙂
K|NG am daudz brīvā laika. Ja nav ko darīt lasat .sql us!
NU a kas vainas sql palasiit? visu ko labu var atrast 😀
Fsck u. Mees sho hidden “servisu” lietojam no 1999. Un tagad tu gribi sev “aatrako” serveri un visiem kartejo fuckup? Man bija 4gb faili uz ex sisenis…
Priede, nē nu kaut kā ari apnik tie sysadminu standarta adbildes meili 😉 Ir arī zinoši tur cilvēki, aber šitas nu pa traku vai zin! . ē … Par to TVNEt 🙂 Tadu iespēju jau esmu paredzējis 😉 kā ir uz boota pa gabaliem sedēt? 159.148.95.32:3306
offtopix: redz ko I.Gudele shodien teica par Informacijas Sabiedribu Latvijaa. vinjas praat, situacija ar interneta pieejamibu LV nav slikta, raditaji esot samera augsti…
Un kaa shis gljuks labojams servera pusee?
miilu laaamerus un slinkus adminus 😉
Imho coolynxs dikti nesmuki esi izdarījies – vismaz pieklājības pēc tev vajadzēja sakontaktēt pašu latnet un dot viņiem laiku pierediģēt kļūdas. Viņi jau nav vainīgi ka permīcijas pašu liktās sūkā… Kādreiz arī man bij tas prieks mierīgi caur ftp ievilkt nāsīs /etc/passwd ar visiem paroļiem, pie noziņošamas steidzīgi uzradās /etc/shadow. Tiesa – tas bij vēl kaut kādā 97/98 gadā (un laikam takš ar uz rausis ;D)
reaali. ejam, skatamies un testeejam 🙂
varbuut kaads no testeetaajiem izdariis TO (ieownos visus paareejos webpeidzjus)
man palasot eseju radaas cits jautaajums. kaadas ir pieejas tiesiibas useru direktorijaam un ar kaadaam tiesiibaam griezjas php? vai tad bez php nevar accesot taas diras?
par cik pasham nav usera uz taa servera un neko nevaru izdariit, aizgaaju uz mysql admin, bet tavu nerazju — prasa user name un password. lieki piebilst, ka test/test darbojas.
a mysql table nevar uztaisiit
Var, un vēl kā var uztaisīt 🙂
kaadreiz uz tulpe bija veel labaak – vareeja arii ar ssh browseet uz nebeedu.
Kaut kas tam latnetam nav kaartiibaa – labu laiku gulbis.latnet.lv bremzeeja nejeedziigi daudzo kdeinit procesu deelj…
Ohohoooooo 🙂
no docroot no fopen limits, no sfaemode 😀
Mammma… labi ka es neko par to nezinu.. un otra lieta ar tvnet tam nav enkada sakara pilniigi, ja nu kaads kautko jauc 😉
Testeejam shejienes HTML injection droshiibu
reku nupat ietesteeju HTML injection! Esi uzmaniigs ar shitiem 🙁
coolynxam jauztaisa lai linkam paliek tikai href atribuuts 🙂
lala i dums :)) Maby pamaaciet ka jus to dabon gatav? :))
nu nevaig jau spamot uzreiz
coolynxam buus jaapielabo komentaaru filts…
es mosh kauko jaucu vai liidz galam nesaprotu bet vai tieshaam K|NG tagad visiem staasta kaa jaadraazh pasha hosteetaajs?
tikai nedod dies šie tagad pēkšņi pāries uz php safe mode, pāris dienas iepriekš izstrādātājus nebrīdinot…
Mees miilam savus klientus!
Benvenuto, nestāstu!
Un ja kāds man teiks: nozāģēji zaru uz kura pac sēdi!
Tad es teikšu: dumš!
Tai vietā lai salabotu to serveri, man tagad ir uzlikts kautkāds bērnudārza bans 🙂 līdzīgi kā dc++ 🙂
Latnet = m/
(pisec podkralsa ņezametna)
taada ir latneta attieksme pret klientiem un vinju datiem
Nav ko lietot visadus Latnet`us – varat lietot, piemeeram museejo www.garmtech.com (www.garmtech.lv). Palasiet pashi …
Un tad uz skatuves paradijaas Ivarix ar savu hostinga piedavajumu… Vel tiigereens ari varetu piekaapt un noblaties skali, ka sux.lv veljoprojam existee… ;)))
un tagad man ir jājautā, kāpēc vēl neviens ar šo jauko serverīti nav paspēlējies…
Ahaaaaaa, aizgaaja reklaamas, spams? Es nekad taa nedaru, bet ja jau visi lec pa logu araa, ko tad es nelekshu! http://hosting.grafton.lv
Juus te neko nesaprotiet – tas ir “biznesa klases internets”! Iespeejams viens no labaakajiem Latvijaa, savaa zinjaa vislabaakais. Cik patiesi vaardi. Shaadaa zinjaa tik ļabu”neesu veel redzeejis… LOL
Eu, veči, piedāvāju super-duper hostingu:
*) Drošs – stāv mājās personālais dators ar TRIIS modemu pieslēgumu, drošībai papildus konekcija caur GPRS
*) Ātrs – mums ir maz klientu, tātad daudz neizmantotu resursu, značit ātrs
*) Up&running – Omīte visu laiku sēž mājās pie teļuka, un kā tiko kaut kas sāk pīkstēt kompim, tā blīkš ar kāju pa sāniem. Un atkal viss iet.
*) 24*7 klientu suports – Ja kas nojūk, klientiem ir iespēja zvanīt lattelekomam, dažreiz šamie apjūk un apskairo ka piem modems neiet. Klients saprot ka Ltk vaina, značit daudziem problēmas.
*) DB suports- Griežas Excel’is ar ODBC konektu. Neviens nesūdzas. (Pērkam MS office licenci pa lēto)
*) E-pasts – mūsu profesionāļi neatbalsta tādus modes kliedzienus kā pop3, webmail, vai vēl sazin kādus. Esi drošs, viss ienākošais e-pasts tiek izdrukāts un nosūtīts klientiem pa fax’u (Varbūt kāds var pateikt kā atšķirt dažādas e-pasta adreses, citādi visi klienti saņem arī pārējo klienu e-pasta fax versijas)
*) Monitorings – kompja videokartei pieslēgts platekrāna TV, var sūkt aliņus un skatīties log failus
—–
WebHackGroupSecurePowerLovePiiSiiBurkaaniNegarsho
test
Lai gan runa iet par latnet.tulpe.lv, kas ir beediigi nopietni, tomeer dazzi komentaari nnirdziigi. Kheps – labs :))))))
sho es saprotu tikai vienaa veidaa:
iedod jebkuram adminam salikt serveri, vinsh to izdara un palaizh.. bet taapat php nav kodeets un zivtinja netiek cirsta, galvenais, ka iet un klients prieciigs.
uz apollo ir tieshi taapat :), par delfiem nezinu, bet nedomaaju, ka arii shie gigahostotaaji iipashi izceltos ar atjautiibu.
ja man paprasiitu nokonfigureet oraaklja serveri, nedomaaju, ka es to izdariitu iipashi savaadaak kaa shie liikrochi ar php.
vienaa vaardaa: nabaga klienti :/
ja man vinji buutu gatavi maksaat 10Ls meenesii, dabuutu 250MB space un vismaz elementaaru droshiibu.. bet ko tad es, es jau neko 🙂
Eu, visi reklameejas, pat piccolo paspeeja uzlaist reklamnjiku.
Bet man prieks ka es ar’ uzspeeju pareklameeties. Un interneta aatrums mums atkal ir palielinaajies, muus pameta paaris klienti :)))
‘Have fun add some ban’ : )
KRISHA: Ja grafton.lv ir drošs, tad es esmu ēzelis. Smiekls nāk konkrēti.
btw, neko jaunu iekš fin..net neesi pamanījis? ;D
*gh* …
nu ja, gribēju jau teikt, bet MZM jau pateica – tas ir “biznesa klases internec”, bāāā, īstenībā jau šodien tur biju pašrocīgi (fiziski, uz vietas) ievilcis… baisi… ja tā ir biznesa klase, tad varbūt vienīgi pagājušjā gadsimtā… telpas neremontētas kā kopš pašiem pirmsākumiem… kompji VARiskie (cik gadu jau VARs vairs nepastāv), tādi ap P166 – PII350.
endrju: neiet jau runa par kautkaadaam taadaam lapaam. iet runa par hosting servisu 🙂 Kas ir pavisam citu serveri utt utt..
Nufis:
NU tu gan dod.. atradi latnetaa divus VAR’a compus un tad tagad shitaadu textu biidi.. paskaties labak kas raku skapjos staav 😉
p.s. Neesmu no latnet’a bet arii tur shodien biju..
K|NG izlasot tavus txt man tikai viena doma ienaaca praataa, tev vieta beernudaarzaa.
KRISHA: “kaut kādām tādām lapām” ? … Es kaut kā iekš PostgreSQL manīju diezgan prestižas lapas, kuras Jūs hostējie, ja nemaldos… jo DB bija Jūsu 😉
Laikam kameer es ar taarpiem ciiniijos. Tulpe.latnet.lv palikusjas tikai divas direktorijas un neviena php faila. b00ring…
ehh… tas komentaars par oracle servera uzstaadiishanu ir debiils. Internets ir pilns (un arii pirms paaris gadiem bija) ar dazhaadiem security cheklistiem. Ieksh PHP manuaalja un install sekcijas ir noraadiits safety warnings un ka buutu jaapadomaa. Un taa taalaak un taa taalaak.
Probleema jau cita – pirmaam kaartaam hosteri uzskata ka setups noziimee vienkaarshi sainstaleet nepiecieshamos pakidžus, otraam kaartaam – klienta direktorijaas par visu atbild klients. Un tad rezultaataa defaultais security sux un lietotaajs jau reti kad iedomaajaas par dazhaadaam fiichaam kaa piemeeram chmod. Lai arii shajaa gadijumaa tas nepaliidzeetu.
Lasam visu ko vien varam par to ko daram un probleemu nebuus.
(p.s. darba lietaas vienreiz sanaaca instaleet oracle 9i serveri (testeeshanai personiigajai), kas beigaas izraadijaas nepiecieshams visai izstraadaataaju grupai. Un oracle guru vieteejais apskatijies kaa es vinju bij uzlicis izteica zhetonu – viss kaa naakas. A patiesiibaa es vienk no oracle lapas panjeemu installation security cheklistu un izgaaju cauri – step by step. Taa ka – ja grib – visu var).
(p.p.s. – picollo njemiet nopietni – viens no secuuraakajiem serveriem ko esmu redzeejis (un lietoju ;D))
fak, man tur 2 lapas hosteejas, shodien nochekoju, viena nestraaadaa, LIELS PALDIES, cerams latnets visu atpakal saliks
Ko Jus gribiet no “shared hosting” environment. Latnet konfiguacija ir normala, taa ir klientu problema, ka vinji daudz nesajeedz kaa MySQL paroles var aizsargaat.
Ticu, ka Latnet piedaava suExec vai CGIWRAP un ka vinjiem PHP ir kompileets kaa executablis. Otraam kartaaam, var tachu programeet Perl un laist caur CGIWRAP lietas, kuras INSERTO/MODIFICEE. Laikam arii aizmirsts par iespeju MySQL lietotaajus defineet ar read tiesiibaam, insert tiesiibaam uz tabulaam utt.
Bet ja protams vajag 100% secure environment, ticu ka Latnet arii to piedaavaa – Dedicated Server. Daargi, bet pieejams. Par 10 latiem menesii Jus savu izdaliito serveri nedabuusit !
K.