Vlákno názorů k článku Nebezpečné webhostingy II od anonym - To nema smysl, pan je proste tezkej penetrator...

/etc/passwd 640 root wheel

Zastrelit a pro vystrahu dvakrat. /etc/passwd je volne citelny z dobrych duvodu (napriklad preklad jmen na uid a zpet nebo umisteni domovskeho adresare treba pro ucely MDA) a stejne v nem nejsou hesla. Skryvani seznamu uzivatelu je security-through-obscurity a to nikdy nefungovalo. Zvlast kdyz si seznam UID vylistuju bez problemu z filesystemu a nic vic nepotrebuju, protoze stejne poznam komu co patri.

Krom toho tam kolikrat nejsou ani ucty, ktere by mely povolene prihlaseni (krome roota a o tom stejne kazdy vi), protoze se pomoci NSS nebo PAM tahaji z nejake uplne jine databaze prave pomoci getent, getpwnam a podobnych funkci.

Porad ale plati to, ze si seznam UID sezenu z filesystemu, takze skryvat jmena je uplne zbytecne a nikoho to nezastavi.

Neco podobneho jsem take ochoten nabidnout tomuto "borcovi", akorat s tim rozdilem, ze bych si vyhradil pravo sledovat co dela a uverejnit zde stopy po jeho pokusech vcetne detajlu.

Asi nema smysl to tu komentovat nejak vic, ten druhy dil je jeste vetsi (s prominutim) sracka plna nesmyslnych zvastu a demagogie nez prvni a autor je vysoce odolny vuci jakymkoliv negativnim komentarum. Radeji si pockam jeste na treti dil, jestli alespon ten bude za neco stat, a az se autor nebude moct odvolavat na "dalsi dil". Jsem zvedav, jake argumenty bude pouzivat pak, az se na nej ctenari, kteri narozdil od nej vi, o cem mluvi, prip. maji rozumnou produkcni zkusenost, sesypou.

Ale tomu, co tu zatim prevedl, by dokazala oponovat i technicka podpora kdejakeho vetsiho webhostingu. A musim se priznat, ze jsem od nej ocekaval rozumnejsi vyplod, a to i pres prvni dil. Tento clanek totiz snad ani nelze kritizovat po castech, to je tak "vzit a vyhodit", proste odpad ... Naprosto nemam slov.

K tomu jsem chtel jen dodat, ze Lupa za chvili bude server pro 15-20ti lete h4X0rZ, kteri budou P4Wn0W4T swet - nebo jak se to v tech letech pise - to bude zabava. Aspon prijde cas na neco lepsiho - treb woot.cz ;o))) nebo jak se to pise ;o)

Autor je proste 21 lety kluk, ktery si mysli, ze skrz putty a svuj nove nainstallovany KUbuntu server (asi se pozvracim - pardon - neni mi od vcera dobre, jelikoz jsem zkonzumoval mnoho piva) cR4X0rN3 vsecicky serfery na interfernetu.

Pro pana kolegu autora:

Mam pro Vas navrh - udelam Vam ucet na mem serveru, sice to neni klasicky webhosting a pouzivam ho pouze pro nase klienty, ale zato mi muzete otestovat vsechny sluzby, ktere jen najdete. Takovy ten Vas tuzkovy test - nebo je to perovy test?

Jinak strucne - mam tam:

open_basedir = $home_of_web
allow_url_fopen = Off
a taky dalsi tyto nesmysly
mod_security21
mod_doseavasive
/etc/passwd 640 root wheel
weby maji 701 kvuli tomu ze ve FreeBSD nejde apache pridavat do skupin do nekonecna
apache ma zmeneny header
mam tam rkhuntera a dalsi nesmysly
zkousel jsem i portsentry, ale z toho se mi chce taky zvracet
samozrejme ze tam mam suexec a zakazane funkce exec a spol v php
Mam X desitek skriptu, ktere simuluji shell v php a perlu a ktere se mi tam turci snazi dostat - uz se tomu smeju.

Jesli pan autor bude schopen mi ten server sundat jinak nez DDoSem tak ma u me basu piv!