Показать сообщение отдельно
Непрочитано 13.09.2010, 14:28   #145
Пользователь

По умолчанию Re: Asterios, такой Asterios

А кто-нибудь задумывался как и почему сумели сломать Астериос?

Ведь у каждого первого, у кого есть свой маленький (и не очень) сервочек точно такие же проблемы с безопасностью, просто вас пробуют ломать 300-500 15илетних школьников, а астериос ломают 30-50 тысяч 18илетних студентов.
Очевидно, слили через дырку в форуме (впулили шел через опубликованную в инете уязвимость, потому что админы астериоса тупо поленились обновить двиг форума), но это полбеды, форумы постоянно ломают. Но права у форума и у сайта походу были одинаковые на доступ к диску (а то и вообще под одним пользователем), считали конфиг CMS-ки, а там настройки доступа CMS-ки к базе игрового сервера. А дальше - mysqldump и готова база аккаунтов.

А у кого сделано по-другому? Много у кого проверен код СТРЕССа на уязвимости (я не берусь утверждать, но верится с трудом, что у него идеально безбажный код, если даже авторы IPB, DLE, WP, Joomla и прочих разработок постоянно косячат)? Много кто как положено сажает разные куски сайта на разных пользователей? Много у кого php для форума и сайта запускается как fast-cgi, а не модулем апача (не с правами апача, а с правами вадельца скрипта, т.е. от разных пользователей не имеющих доступ к файлам друг-друга)?
Про организацию xml-rpc связки между игровым сервером и обвязкой я вообще молчу, куда уж там.

"Над кем смеетесь, господа? Над собой смеетесь" (с) Н.В. Гоголь.
Blakkky вне форума Ответить с цитированием
Сказали спасибо: