Долгое время мой блог находился в shared хостинге у одного из российских провайдеров. Из плюсов — низкая цена, а так как стоимость рубля оставляла желать лучшего, пользоваться чем-то типа digitalocean было достаточно накладно.
Но в какой-то момент блог упал и выдавал только ошибку 500. После общения с службой поддержки, стало совсем грустно…
Интересно… У виртуальных хостингов много security недостатков, но блог не несет большую ценность, особенно при наличии бэкапов. Может они обратили внимание на wso2.php в корне сайта?
На самом деле у меня залит скрипт с выполнением произвольного кода, но с паролем и в далекой директории, так как данный тариф («Блог») не подразумевает предоставление FTP, SSH или какого-либо другого способа редактирования файлов. Я зашел через него и понял — у корневой директории просто отобрали права. Но есть одно НО.
Выходишь в директорию /home/ — есть права доступа к другим сайтам!
Забавно, правда? Могу получить доступ к 443 «соседям», но не могу зайти в свою директорию. Нашёл там , папочку lifehacker.ru (они на тот момент съехали оттуда, но видимо хостились там), ну и кучи прочих.
А быть может доступен только листинг? Не-а, файлы конфигурации, например, читаются:
Божечки кошечки! Пишу в поддержку — ребята, хватит ворошить бэкапы, зовите сисадмина, тут такое! Я могу смотреть чужие сайты, а свой — нет.
Прикладываю скрины.
Но ответ опять не радует…
Ну вот. Теперь и заблокируют… А ещё рекомендуют использовать плагин webftp, который обладает такой же функцией, как и wso :)
Что делать? Пора съезжать. Сказано — сделано. Позже блог восстановили, но осадок остался. Вот так я перестал использовать виртуальный хостинг.
P.S. за то, что выручил и поселил меня.
P.P.S. Ну и расскажу, кто еще не вкурсе о — виртуальный сервер в Москве или Санкт-Петербурге за 200 рублей в месяц. Рефералка даст 400 рублей на баланс :)
