Zákazník na webhostingu s bezpečnostní dírou ve webovkách

21. 10. 2016 22:11:57

Zdravím ve spolek,

mám na webhostingu zákazníka, který si před cca 6 lety nechal udělat webovky (Joomla). Dneska má ve webovkách bezpečostní díru (pravděpodobně kontaktní formulář), díky které se hacker dostane do operačního systému, poškodí všechny ostatní weby jiných zákazníků a vyšachuje emaily tím, že inzeruje do souborů kousky kódu a rozesílá bez použití postfixu spam.

Je jasné, že jako webhoster jej přinutím si provést update webu, ale kdo pak hradí škodu? Jak vysvětlit ostatním zákazníkům, že jejich byť i nově vyrobené stránky jsou poškozené a že si mají zaplatiti webmastera, aby jim stránky ze zálohy obnovil?

21. 10. 2016 22:11:57

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232364

meter21

(2 hodnocení)

21. 10. 2016 22:24:44

Asi to bude uvedené v podmienkach webhostingu.

Často tam je uvedene niečo v zmysle že ak poškodzuješ svojou činnosťou službu tak si vyhradzujú právo ťa vypnúť , ďalej že nič negarantujú a máš to mať zálohovane ... Ale dosť pochybujem že by sa uplatňovala nejaká zodpovednosť alebo náhrada škody , minimálne by to nebolo dobré pre marketing :) .

21. 10. 2016 22:24:44

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232363

Pavel Rokec

21. 10. 2016 22:30:51

V podmínkách webhostingu je, že jako poskytovatel neručím za škody způsobené hackerem. Ale nemám tam nic o tom, že zákazník hradí škodu, pokud jeho web bude použit jako bezpečnostní díra do operačního systému.

21. 10. 2016 22:30:51

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232362

David Procházka

(39 hodnocení)

21. 10. 2016 22:33:23

Napsal Pavel Rokec;1333498
má ve webovkách bezpečostní díru díky které se hacker dostane do operačního systému

neni to spis chyba zabezpeceni hostingu ?

21. 10. 2016 22:33:23

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232361

Pavel Rokec

21. 10. 2016 22:47:13

to nevím, jak to dokázat? Zkusím toto: hodím jeho webovky ke konkurenci na wh a uvidím.

21. 10. 2016 22:47:13

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232360

meter21

(2 hodnocení)

21. 10. 2016 22:57:04

To ale v prípade lacného zdielaného web hostingu zákazník so zníženou bezpečnosťou asi počíta , kto chce riešiť seriózny byznis siahne po serveri alebo VPS. Neviem si predstaviť že by mi niekto napr. stiahol DB zákazníkov s ich osobnými údajmi .

A druhá vec je od niekoho pýtať kompenzáciu za hosting v hodnote dajme tomu 1000kč ročne , pri počte 100 webov na jednom serveri za každú obnovu zálohy dajme tomu 500 kč to je 50 000kč :-D a čo ak si budú požadovať ušlý zisk :-P

Ešte ma napadá ako si ma zákazník zabezpečiť aplikáciu ide často o ľudí ktorý o tom veľa nevedia a pochybujem že sa aj na webtrhu nájde programátor ktorý bude pri nejakom prestashope za 10 000 kč ručiť za prípadnú škodu čo i len 1 korunu.

21. 10. 2016 22:57:04

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232359

(20 hodnocení)

21. 10. 2016 23:24:54

kdyz se z jendoho zakaznickeho uctu, je zcela jendo jak, dostanu do jineho zakaznickeho uctu a poskodim ho, tak je to sakra moc chyba webhostingu... Ano, zakaznik ma ve webovkach chybu a je duvod ho proto odstavit, pac treba muze rozesilat spam... ale fakt, ze se diky tomu utocnik dostane i jinam nez k zakaznikovi, co tam ma chybu, ukazuje na to ze jste neskutecni amateri... ale opravdu prvni trida amateru... protoze tohle je prvni co mate mit vyresene... hawk

21. 10. 2016 23:24:54

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232358

Pavel Rokec

21. 10. 2016 23:46:29

Napsal Aleš Jiříček;1333508
kdyz se z jendoho zakaznickeho uctu, je zcela jendo jak, dostanu do jineho zakaznickeho uctu a poskodim ho, tak je to sakra moc chyba webhostingu... Ano, zakaznik ma ve webovkach chybu a je duvod ho proto odstavit, pac treba muze rozesilat spam... ale fakt, ze se diky tomu utocnik dostane i jinam nez k zakaznikovi, co tam ma chybu, ukazuje na to ze jste neskutecni amateri... ale opravdu prvni trida amateru... protoze tohle je prvni co mate mit vyresene... hawk

no a jak potom budete popisovat hackerský útok na Bílý dům, NATO, a podobné velké servery, na kterých pracuje tuna adminů a bezpečnostních techniků s plným úvazkem? Také, že jsou to amatéři? Prostě žádný server není absolutně neprůstřelný proti všem hackerům. Co jste napsal, je nesmysl.

---------- Příspěvek doplněn 21.10.2016 v 23:54 ----------

Napsal meter21;1333506
To ale v prípade lacného zdielaného web hostingu zákazník so zníženou bezpečnosťou asi počíta , kto chce riešiť seriózny byznis siahne po serveri alebo VPS. Neviem si predstaviť že by mi niekto napr. stiahol DB zákazníkov s ich osobnými údajmi .
A druhá vec je od niekoho pýtať kompenzáciu za hosting v hodnote dajme tomu 1000kč ročne , pri počte 100 webov na jednom serveri za každú obnovu zálohy dajme tomu 500 kč to je 50 000kč :-D a čo ak si budú požadovať ušlý zisk :-P
Ešte ma napadá ako si ma zákazník zabezpečiť aplikáciu ide často o ľudí ktorý o tom veľa nevedia a pochybujem že sa aj na webtrhu nájde programátor ktorý bude pri nejakom prestashope za 10 000 kč ručiť za prípadnú škodu čo i len 1 korunu.

No když si zákazník objedná klasický webhosting, to znamená, že sdílí server s ostatními zákazníky, to v žádném případě neznamená, že si zákazníci lezou do svých databází. Každou db má každý zákazník sám pro sebe a pod heslem, stejně tak soubory webu.

Ale máte pravdu, že mí zákazníci mají zaplacen sdílený webhosting a že kdyby si u mne každý platil VPS, tak jsou všichni (kromě toho napadeného) v pohodě.

A máte pravdu i v tom, že zákazníci nejsou odborníci a tvůrce webu neručí za to, co se stane. Asi dle selského rozumu: když má někdo hackera, tak si musí objednat update webu a za ten zaplatit.

21. 10. 2016 23:46:29

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232357

Default

(94 hodnocení)

22. 10. 2016 00:27:10

Sice má každý zákazník svou databázi a vlastní FTP účet, ale stejně bude ve webhostingu díra, přes kterou se dá jednoduše dostat do ostatních webů.

Zřejmě jde např. z PHP kódu procházet i ostatní složky jiných uživatelů. Možná i na FTP stačí jít o složku nahoru.

22. 10. 2016 00:27:10

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232356

Pavel Rokec

22. 10. 2016 00:50:58

Napsal kubiro;1333516
Sice má každý zákazník svou databázi a vlastní FTP účet, ale stejně bude ve webhostingu díra, přes kterou se dá jednoduše dostat do ostatních webů.
Zřejmě jde např. z PHP kódu procházet i ostatní složky jiných uživatelů. Možná i na FTP stačí jít o složku nahoru.

vím jen jedno: hacker okamžitě přestal, když jsem vypnul nepoužívané moduly Joomly, a naopak okamžitě začal, když byl jeho web instalován včetně nepoužívaných modulů.

22. 10. 2016 00:50:58

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232355

(20 hodnocení)

22. 10. 2016 00:52:20

Napsal Pavel Rokec;1333511
no a jak potom budete popisovat hackerský útok na Bílý dům, NATO, a podobné velké servery, na kterých pracuje tuna adminů a bezpečnostních techniků s plným úvazkem? Také, že jsou to amatéři? Prostě žádný server není absolutně neprůstřelný proti všem hackerům. Co jste napsal, je nesmysl.

Vymlouvat se na ostatni je nesmysl. PHP jde pomerne hoden zabezpecit, aby nebyl rpistup jinam, vy jste to neudelali, opravdu se omlouvam pokud slo o tak sofistikovany utok ze proti nemu neexistuje ochrana... Ale ze zkusneosti proste predpokladam ze jste jen nezabezpeceni a divite se.... Po zakaznikovi prosim nic nevyzadujte, on am pravo mit nezabezpecenou aplikaci ktera mu zlikviduje ucet, protoze to on tim bude trpet,a le to ze jste si to nezabezpecili nijak a bohuzel se to nevysmtilo jen jemu, to proste jeho chyba neni...

22. 10. 2016 00:52:20

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232354

Pavel Rokec

22. 10. 2016 01:01:13

Napsal Aleš Jiříček;1333520
Vymlouvat se na ostatni je nesmysl. PHP jde pomerne hoden zabezpecit, aby nebyl rpistup jinam, vy jste to neudelali, opravdu se omlouvam pokud slo o tak sofistikovany utok ze proti nemu neexistuje ochrana... Ale ze zkusneosti proste predpokladam ze jste jen nezabezpeceni a divite se.... Po zakaznikovi prosim nic nevyzadujte, on am pravo mit nezabezpecenou aplikaci ktera mu zlikviduje ucet, protoze to on tim bude trpet,a le to ze jste si to nezabezpecili nijak a bohuzel se to nevysmtilo jen jemu, to proste jeho chyba neni...

jak chcete pomocí php zabezpečit, aby nebyl přístup jinam?

Vídím to tak, že podezřelý zákazník si musí dát udělat update. Systém můžete zabezpečovat do nekonečna, pokud má zákazník starý web, tak je dírou do systému. Je to stejné, jako když si u domu uděláte pancéřové dveře, ale stěny necháte z papíru. Kromě toho OS je neustále updatován.

A ještě jste mi neodpověděl na to, jak označíte adminy velkých organizací typu NATO, Bílý dům atd. Také jsou amatéři?

22. 10. 2016 01:01:13

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232353

Default

(94 hodnocení)

22. 10. 2016 01:01:49

Napsal Pavel Rokec;1333519
vím jen jedno: hacker okamžitě přestal, když jsem vypnul nepoužívané moduly Joomly, a naopak okamžitě začal, když byl jeho web instalován včetně nepoužívaných modulů.

v tom případě některý z modulů mu umožňuje dělat ve scriptech co se mu zachce = může dělat cokoliv na celém hostingu, protože přes PHP má přístup i tam kam by neměl mít

takže ošetřit zabezpečení PHP, jak píše Aleš. To že má díru na webu už je problém jeho, to že může zničit ostatní weby, to už je problém na straně vaší, správně by mu měl mít možnost zničit max. jeho data na FTP a data v jeho databázi, ostatním určitě ne

22. 10. 2016 01:01:49

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232352

Pavel Rokec

22. 10. 2016 01:08:44

Napsal kubiro;1333523
v tom případě některý z modulů mu umožňuje dělat ve scriptech co se mu zachce = může dělat cokoliv na celém hostingu, protože přes PHP má přístup i tam kam by neměl mít
takže ošetřit zabezpečení PHP, jak píše Aleš. To že má díru na webu už je problém jeho, to že může zničit ostatní weby, to už je problém na straně vaší, správně by mu měl mít možnost zničit max. jeho data na FTP a data v jeho databázi, ostatním určitě ne

myslím, že to je jen jedna možnost, co píšete. Dovedu si představit, že existuje software, pomocí kterého se přes zákaznický web dostane i jinam, i když je server zabezpečen.

Projdu ještě security checklist php.

22. 10. 2016 01:08:44

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232351

Default

(94 hodnocení)

22. 10. 2016 01:14:47

Napsal Pavel Rokec;1333524
myslím, že to je jen jedna možnost, co píšete. Dovedu si představit, že existuje software, pomocí kterého se přes zákaznický web dostane i jinam, i když je server zabezpečen.
Projdu ještě security checklist php.

To si projděte, protože momentálně je potřeba zabezpečit aby nešlo přistupovat ze scriptů jednoho zákazníka k těm ostatním, protože nyní je 100% chyba v tomto a dost jistě přes PHP kód.

viz. fastcgi, open_basedir, disable_functions a další

22. 10. 2016 01:14:47

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach#reply1232350