Несколько месяцев назад на хакерских форумах появились объявления о продаже базы данных хостинг-компании Valuehost (http://www.valuehost.ru/). В частности, в одном из объявлений было анонсировано, что база содержит реквизиты доступа (логин/пароль) к 50 000 сайтам, размещенных у этого провайдера.
6 октября на сайте журнала Xakep появилось полное описание (http://www.xakep.ru/post/24136/default.asp) того, как хакерам удалось проникнуть на сервера Valuehost и утащить оттуда эту жизненно важную информацию.
Как это описывает автор статьи, украсть базу данных оказалось не просто, а очень просто. Дыра в безопасности Valuehost была проделана не стараниями программистов Microsoft, а кривыми руками самих администраторов хостинг-компании.
Вот последовательность из нескольких ошибок, которые позволили хакерам взломать хостера:
1. На сайте был установлен форум UBB, разработанный по технологии open source. Исходники этого форума можно с легкостью достать и изучить на наличие дыр в безопасности. Обычно такие “бесплатные” форумы устанавливают на частные проекты, не представляющие для хакеров особой ценности. Фирмы же покрупнее (каковой, вероятно, считает себя Valuehost) озабочиваются разработкой собственных форумов. Они, естественно, тоже не застрахованы от ошибок, но на поиски этих ошибок хакер может потратить довольно долгое время, что, вполне вероятно, сведет на нет его желание хакнуть такую предусмотрительную компанию.
2. Некоторые директории (в частности, /images/icons/ и /stylesheets/) были открыты для записи, через эту дурочку были “залиты” хакерские инструменты, которые расширили ее до размеров пещеры, по которой можно легко и свободно вывозить информацию грузовиками.
3. Администраторы использовали крайне простые пароли. Так, автор статьи упоминает распространенный пароль 1234567890, содержащийся в любых “перебиралках” паролей в числе первых.
4. Администраторы Valuehost не отслеживали защищенность своей системы, что позволило хакерам пользоваться ею в течение полугода. Правда, после полгода эта дыра была все-таки заделана, но заделана без фантазии: еще одна точно такая же дырка осталась не закрытой, и хакеры еще долгое время спокойно продолжали пользоваться “услугами” Valuehost по предоставлению доступа для дефейса своих сайтов.
Кстати, в том самом объявлении, которое мы упоминали в начале статьи, БД с доступом к 50 000 сайтов продавалась всего за 120 WMZ. Смешные деньги, по большому счету.
Судя по всему, Valuehost так до сих пор и не поборол кадровый кризис, который разразился в этой компании год назад, после резкого увеличения клиентов. Напомним, что тогда компания Valuehost вела агрессивную рекламную и ценовую политику, что раздуло число ее клиентов до гигантских размеров, а ресурсы компании были к этому просто-напросто не готовы.