Несколько сайтов битрикс на сервере

[NULLED555]

Всем привет. вопрос следующий:
на одном сервере есть независимые друг от друга сайты на системе управления 1С-Битрикс - разные домены, лицензиии и админки соответсвенно
недавно мне сказали что получив доступ в админку одного из сайтов злоумышленник сможет получить доступ и к остальным - скопировать или удалить или внести свой код, и что это уязимость битрикса и мало кто об этом знает

так ли это? прощу професионального совета в этом вопросе

 

[nikola_piter]

мне кажется бред.... на шаред хостинге сколько сайтов на битриксе - одному хостеру известно )))

 

[ZoozMen]

Если один сайт заразят получат доступ и к хосту

 

[invader]

Если один сайт заразят получат доступ и к хосту

Это вы сисадминам криворуким сообщите

 

[NULLED555]

получается само ядро битрикса защищено а уязвимость может быть из-за криворуких разработчиков или сторонних расширениях?

 

[ZoozMen]

получается само ядро битрикса защищено а уязвимость может быть из-за криворуких разработчиков или сторонних расширениях?

уязвимость может быть загружена с каким либо файлом..
например скачали вы модуль, а в нем шелл-скрипт

 

[mrLom]

мне кажется бред.... на шаред хостинге сколько сайтов на битриксе - одному хостеру известно )))

На шареде, с огромной долей вероятности можно посмотреть сколько пользователей висит в комуналке при помощи шел-скриптов. Опять же, есть масса сервисов, которые позволяют показать имена по IP адресу. Сразу вспоминаю 2ip.ru, hideme.ru
Взять тот же поисковик bing.com и с запросом ip:ip.ad.re.s выдаст вам доменные имена.

недавно мне сказали что получив доступ в админку одного из сайтов злоумышленник сможет получить доступ и к остальным - скопировать или удалить или внести свой код, и что это уязимость битрикса и мало кто об этом знает
так ли это? прощу професионального совета в этом вопросе

У старых версий есть уязвимости, думаю, есть множество приватных и в свежих, так что чисто технически взлом возможен. (Кстати, не забывайте, не только Битрикс уязвим).

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Спойлер: Много много букв

Тут вопрос уязвимости не только Битрикса — а прямо как в авиакатастрофах, последовательная цепочка действий пользователей, безграмотности, лени, параметров безопасности, реализации изолированных "кабинетов" пользователей. Порой хостер забывает и даже забивает! делать обновления, кто-то лениться, а многие даже боятся их делать, т.к. при хорошем количестве народу и резком обновлении у многих всё рушится. Иногда при свежем обновленном сервере, обновленных по подписке софте, забываем обновлять сопутствующие утилиты (phpMyAdmin, Adminer). Простые пароли, трояны на компьютерах, которые собирают все данные, от почты, от админок и т.д.
А представьте себе, сколько веб-софта, написанного три-пять лет назад, молчу уже и о десятках лет, которое может работать только на таком же старье и софт-рефакторинг только остановит тепленькую ламповую работу. Тут возникнет суперавральный вопрос о внеплановой поддержке и разбору всех инцидендов, иногда свыше сотни пользователей на одной железке — оно надо? Для обновляемых существуют тарифы по переезду, платной поддержке? Иногда именно поэтому шаред-хостинг это зло — вы ни как ни на что не повлияете. Древний Линукс даже школьники смогут взломать, конечно же, почитав специфические форумы и литературу.

Покупается хостинг на месячишко в необновляемых провайдерах, якобы для тестов, иногда с оговоркой нужных вам версий веб-софта — вам даже могут предоставить гарантию манибэка на пару тройку недель, так что такое проворачивается очень часто бесплатно. Далее берем какой-нибудь древний софт, именно тех версий, на которые существуют эксплоиты повышения ролей. Тут главное иметь дедики и vpn. И дело в шляпе — вы владелец всего сервера. А при владении одним сервером, можно внутри сетей действовать дальше.

Серьезные проекты с уникальными решениями рекомендую использовать только VDS, ну и опять же, смотря какую цель вы преследуете — "рыбу ловить" или безопасность данных.

 

[NULLED555]

в целом понятно, а теория типа: если у меня есть доступ к админке битрикса я могу получить доступ ко всем сайтам на битриксе на этом сервере чисто надумано из-за недопонимания ситуации в целом
девушка которая ведет проекты умничала что знает битрикс - она и подкинула эту мысль

 

[mrLom]

в целом понятно, а теория типа: если у меня есть доступ к админке битрикса я могу получить доступ ко всем сайтам на битриксе на этом сервере чисто надумано из-за недопонимания ситуации в целом

Всегда полезно делать аудит для понимания, даже хотя для того, что бы для себя осозновать, видят ли вас соседи (если да — бежать!) и на сколько прямые руки у админов серверов.

девушка которая ведет проекты умничала что знает битрикс - она и подкинула эту мысль

Девушки они такие поверхностные бывают — знать Битрикс не означает знать сервера. Опять же, она могла транслировать чужие мысли.
Можно быть отличным кодером от бога, но не имея предсталения о безопасности серверов — развернуть клиенту стандартное решето. Кстати, многие разрабы допускают грубые ошибки — верят всему не фильтруя, что отправляют на сервер пользователи.
Вы же видели стандартную отписку Битрикса в Маркетплейсе?

Внимание! Компания "1С-Битрикс" не несет ответственности за разработки партнеров. По всем вопросам, связанным с работой сторонних решений, а также в случаях нарушения работы сайта, вызванного некорректной работой сторонних решений, обращайтесь к партнерам-разработчикам.

Слесарь говорит: — Я знаю этот станок как свои семь пальцев!