Mizerné zabezpečení hostovaných aplkací ze strany WEDOS - fórum

Kategorie: Webhosting / Obecné dotazy

přidatNový příspěvek

Chcete-li odebírat toto téma e-mailem, přihlašte se nebo se nejprve zaregistrujte.

Nemichat prosim

LWQ, 03.01.2013 10:49:08

Dobry den preji,

vazeny pane Rehorku - laskave neocernujte WEDOS, ten za chyby ve Vasich skriptech nemuze ! Je jen a pouze Vas problem jak mate zabezepecenou aplikacni vrstu.
Vlastni servery, tedy SSH a konzolovy pristup je neco uplne jineho a zde problem neni.

Zkuste se nejprve vzdelavat ohledne teto problematiky nez zacnete opet placat roztodivna rceni, problym, smyslenky. Prospeje to vsem.

Pekny den! LWQ

Mizerné zabezpečení hostovaných aplkací ze strany WEDOS

Richard Řehořek, 27.11.2012 10:03:44

Dobrý den,
chci se podělit o negativní zkušenost s webhostingem u Vás. Provozuji u Vás php aplikaci, kterou v minulých dnech někdo zvenku hacknul a upravil/pozměnil řadu mých php skriptů (většinou přidal různé cizí skripty do mých *.php souborů). Obrátil jsem se na technickou podporu s dotazem na vysvětlení a žádostí o nahrání souborů ze zálohy (byť zálohování nemám v ceně), protože chybu považuji za problém na straně WEDOSu, který nedokázal zabránit přístupu nějakého robota zvenku, jež překonal veškeré ochrany a dovolil cizímu programu změnit a uložit mé soubory (všechny změněné soubory měly identický čas úpravy). Váš službukonající technik, kterého nechci jmenovat, mi zareagoval, že je jen mou věcí, jak mám zabezpečeny webové stránky, s čímž hrubě nesouhlasím! Žádám tedy o okamžitou nápravu a pokus z Vaší strany zachránit své renomé, protože přestávám důvěřovat Vašemu webhostingu a silně mě zklamal přístup Vaší podpory!!!

Richard Řehořek

Re: Mizerné zabezpečení hostovaných aplkací ze strany WEDOS

Petr Šťastný, WEDOS, 27.11.2012 10:15:21

My opravdu nezajišťujeme zabezpečení PHP aplikací našich zákazníků. Ani to není v našich silách. Zákazníci na našich serverech provozují stovky různých druhů aplikací, každá je jiná, každá má různé potenciální bezpečnostní chyby. Neexistuje na to nějaké jednotné zabezpečení.

Toto si opravdu musí řešit zákazník sám. Je potřeba zvolit vhodnou bezpečnou aplikaci, pravidelně aktualizovat, řádně aplikaci nakonfigurovat. To musíte zvládnout sám nebo na to mít webmastera, to my pro zákazníky nezajišťujeme.

Bohužel většina nejčastěji používaných redakčních systémů má bezpečnostní chyby, zejména v pluginech od třetích stran. Pro řádné a bezpečné provozování je potřeba se s těmito riziky seznámit a řešit je.

Součástí webhostingu u nás není správa a zabezpečení aplikací zákazníků. Nesuplujeme funkci webmasterů. Pouze nabízíme prostor na našich serverech pro umístění stránek a aplikací.

Nevím co konkrétně vás mohlo zklamat, nikde neslibujeme že se postaráme o aplikace zákazníků a součástí služby, kterou jste si u nás pořídil, to jednoduše není.

Re: Mizerné zabezpečení hostovaných aplkací ze strany WEDOS

Richard Řehořek, 27.11.2012 10:26:19

Nezlobte se, ale pletete hrušky s jablky. Pokud chcete být seriózní firma, která provozuje webhosting, musíte přece umět zabezpečit, aby se na Vaše servery nedostal nikdo nepovolaný, tedy aby nikdo zvenku nemohl otevřít, upravit a uložit soubor jinak než přes zabezpečené FTP pod příslušnou zákaznickou autentizací a autorizací! Toto nemá vůbec nic společného s tím, co je uvnitř souborů na webu, jestli provozované aplikace mají nějaké chyby apod. V mém případě nějaký robot zvenku otevřel desítky *.php souborů a vložil do nich své skripty a soubory zase uloži, což je jednoznačně chyba v nastavení Vašich firewallů a ne v obsahu skriptů!!! Navíc, skripty které robot otevřel, jsem nepsal já ani žádný mnou najatý programátor, ale jsou součástí rozšířeného obchodu PrestaShop, který žádnými známými bezpečnostními neduhy, jež by umožnily takový průnik, netrpí! Nicméně opakuji, že nejde o obsah souborů, ale o řízení přístupu k nim a Vaši bezpečnostní politiku, kterou včetně Vašeho postoje považuji za mizernou!!! Přesvědčil jste mě, že rozhodně u Vás nebudu provozovat žádnou ostoru aplikaci!!!

Re: Mizerné zabezpečení hostovaných aplkací ze strany WEDOS

Petr Šťastný, WEDOS, 27.11.2012 10:34:49

To si pletete 2 různé věci - dostat se na serveru vs. dostat se do PHP aplikace.

Na náš server se nikdo nedostal, ty máme samozřejmě řádně zabezpečené.

Vaše aplikace byla napadena skrz bezpečnostní chybu přímo v oné aplikaci (ne v našem serveru nebo v jeho software) - tyto útoky jdou buď FTP (ukradeným heslem pomocí viru) nebo přes HTTP (zneužití chyby programátora používané aplikace nebo pluginu).

Nezlobte se, ale není to chyba v zabezpečení našich serverů. Je to chyba ve vámi používané aplikaci. Toto prosím reklamujte u tvůrců PrestaShopu. My PrestaShop zákazníkům nezabezpečujeme, to je v jejich režii.

Re: Mizerné zabezpečení hostovaných aplkací ze strany WEDOS

Richard Řehořek, 27.11.2012 10:47:48

Dobře, nebudu se dál přít, vidíme to každý jinak. Předpokládám, že logujete editační přístup k souborům, nechápu tedy, proč mi nikdo z Vaší firmy není schopen říci, kdo (jaká IP adresa), kdy a odkud (protokol, port apod.) soubory změnil. Toto přece umí zaznamenat základní bezpečnostní nástroje u každého webhostingu.

Uprostřed adresářové struktury mého webu kdosi založil nový adresář s názvem "superuser", který se svými právy ani neotevřu ani nesmažu (právo 077). Můžete zajistit jeho odstranění?

Re: Mizerné zabezpečení hostovaných aplkací ze strany WEDOS

Petr Šťastný, WEDOS, 27.11.2012 10:51:33

Změny provedené přes FTP logujeme. Změny provedené přes HTTP (tedy nějakým PHP skriptem) nelogujeme.

Pokud chcete výpis z dostupných logů a něco na webu smazat, pošlete autorizovanou žádost přes kontaktní formulář.

Re: Mizerné zabezpečení hostovaných aplkací ze strany WEDOS

Richard Řehořek, 27.11.2012 11:08:40

OK, takže předpokládám, že ze zásady není povolena editace žádných souborů v adresářové struktuře na webech přímo z PHP skriptů (samozřejmě z důvodu základní bezpečnosti provozovaných aplikací) ale jen z FPT, které jak píšete logujete... Na výpis z logu z FTP jsem se ptal už včera, ale nikdo od Vás nezaregoval!!! Takže?

Re: Mizerné zabezpečení hostovaných aplkací ze strany WEDOS

Petr Šťastný, WEDOS, 27.11.2012 11:12:30

Já jsem vaši zprávu nyní našel. Skončila ve spamu, protože ji antivir odfiltroval jelikož jste do ní vložil škodlivý kód z vašich stránek.

Prosím zašlete novou žádost přes kontaktní formulář.

Re: Mizerné zabezpečení hostovaných aplkací ze strany WEDOS

Richard Řehořek, 27.11.2012 11:17:13

Již se stalo, děkuji.

Přihlášení zákazníka

Nemáte ještě zákaznický účet? Registrace

Copyright © WEDOS, 2018

Facebook RSS