Как поддержка хостинга может добавить уязвимостей вашему сайту

Недавно мне прислали вопрос в духе «форма отправки сообщений с сайта перестала работать, что делать?». Я ответил, что необходимо проверить настройки подключения к SMTP-серверу и попробовать отправить тестовое письмо — после приема сообщения, сайт отправляет его на почтовый ящик через SMTP сервер.

Дальше человек, задавший вопрос, пошел в поддержку хостинга уточнить реквизиты для доступа к SMTP. Менеджеры службы поддержки были настолько любезны, что сами решили протестировать отправку писем. В результате они прислали необходимый адрес, порт, логин и пароль. И все заработало прекрасно как и прежде.

Но где же подвох?

Через некоторое время я, толи от нечего делать, толи по какой-то другой случайной причине решил зайти в папку с тем самым сайтом на хостинге (ну, да, сайт же на шеред-хостинге). Открываем условный “public_html” и среди обычных файлов WordPress вижу mailer.php.

Внутри «мейлера» оказался нелепый PHP-код, судя по всему, тестирующий отправку писем через SMTP. Среди всего этого “echo $_POST...” повторялось не один раз. Занавес.

Итак, что же мы получили? Не совсем адекватные и умные специалисты службы поддержки нередко любят поделать что-нибудь с вашим сайтом — так, где-нибудь внутри “public_html“, появляются незнакомые файлы, о создании которых поддержка, конечно же, ничего не скажет — зачем клиенту лишние технические детали? А через день про эти файлы никто и не вспомнит — в поддержке ведь не один человек работает и у вчерашнего “специалиста”, чинившего вам сайт, сегодня заслуженный выходной.

Вот и получается, что клиент, который просто написал в поддержку, получил в подарок хороший набор уязвимостей и неприятностей.

Послесловие

Все это происходит на фоне чокнутых администраторов серверов, постоянно меняющих порты, логины, пароли… ради лучшей безопасности. Да какого хрена смена 22 порта на 9999 поможет в безопасности? Да, возможно роботы будут реже стучаться на сервер в попытках пробить зубочисткой бетонную стену. Но в комплекте с этим клиенты получают неудобства, лишние вопросы, и, как следствие, поддержка дополнительную работу и обращения.

Да и стены, после всего этого, как показывает практика, могут быть бетонными не со всех сторон.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s