07-08-2011, 18:19
|
|
|
חבר מתאריך: 25.08.03
הודעות: 9,114
|
|
מה שמזכיר לי...
שבוע שעבר נתקלתי בשרת אחסון - שרת Windows(!) עם PHP... גירסה 4.
חברת האחסון דרשה מהלקוח תוספת תשלום על שדרוג או העברה לשרת אחר (דבר שלא זכור לי שנתקלתי בו בעבר, למיטב זכרוני זהו שירות בסיסי אצל כולם, וכך גם אצלי). בסופו של דבר, הלקוחה לא שילמה להם תוספת תשלום, אלא שילמה לי על אחסון מחדש (היא כבר שילמה להם על אחסון עד לכמעט סוף 2012...).
לאחר שהעברתי את האתר לשרת שלי, גליתי סימנים לפריצה שהתרחשה בעבר (דבר שאושר ע"י הלקוחה) וחור אבטחה חמור שאיפשר הזרקת קוד PHP באמצעות משתנה GET (שינוי שנעשה באחת הפריצות).
אני לא רוצה לכלול, אך הייתי מסכם זאת כך:
אם מדובר בשרת Windows, (ובמיוחד שגם הוא בגירסת NT ולא גירסה עדכנית), שרת IIS (ישן, אבל לא רק) ומנוע PHP וכל תוכנה אחרת שאינה עדכנית, הסבירות לחוסר המודעות של מנהלי השרת, והסיכוי לפריצה ונזקים, גבוהה מאד.
סביר להניח שאכן כך גם המקרה הזה.
|