Здравствуйте

Сергей Владимирович Карпов

Лазил по просторам рунета - набрел на хостинг hbox.ru
Посмотрел - вроде норм тарифы - решил потестировать - удаленный инклуд и вот у меня в руках пароль от Директ Админа

Написал администратору что у них есть ошибка - предложил помочь (конечно же не за спасибо)
Мне сказали четко и ясно: покажите ошибку - получите вознагрождение, цитирую:

Я (11:58:55 29/10/2007)
А что я с этого буду иметь?)

St. (11:59:24 29/10/2007)
Долларов 50, но это если скажете

Скажу сразу - если бы они мне это не предложили - я просто бы забыл про них и все.
Ну раз у людей все так криво - решил помочь, залили элементарный шелл и указал проблему и как ее решать.

Попросил перевести пока сколько смогут денег - перевели другому хостеру (был должен ему)
А вот про остальное забыли:
вывод - врушки, да еще и с ошибками

Класс! Хакнули сервер и потом шантажировали владельца сервера.
Разве это не наказуемо?
А потом еще и жалуемся, что владелец сервера применил к вам ваши же честные методы.

Ещё немного и спамеры начнут жаловаться на антиспам фильтры

Если бы я хакнул сайт - он бы был выставлен со всеми скриптами в архиве на всех известных мне форумах



В вашем случае лучше сервера проверить на безопасность

У меня только 2 вопроса:
кто прав и почему?

Хотел узнать ваше мнения

Где Вы шантаж-то увидели? А клеветничекое обвинение в шантаже точно наказуемо
Serzh, сколько Вам должны остались? По поводу остального молчат? Или просят ждать?

Если проникли на сервер и просили вознаграждение за показ уязвимости, то я это воспринимаю как шантаж.
Или я не прав?

r2w, Вы не правы - жантаж бы был по дургому, да и мне это не к чему, хостинг такой не один

А вот они ничего не говорят - просто молчат

Нет, не правы.
Шантажом это было бы если бы Serzh пригрозил бы использовать эту уязвимость против хостера если ему не заплатят, уничтожить данные или еще что-либо.
Даже угроза публикации этой уязвимости если не заплатят и то шантажом не была бы в большинстве случаев.
А так по ситуации - - он бесплатно сообщил о наличии уязвимости, хотя не должен был, с какой стати он должен бесплатно выполнять работу по демонстрации уязвимости? По русскому принципу "дай палец, руку откусят"?

Про шантаж, допустим.
А использование аккаунта для доступа к чужим ресурсам? Наказуемо?
Эх, жаль hbox.ru в разработке. Правила бы их почитать...

Нет, аккаунт вообще не причем, все делается удаленно

Мы только про шантаж и написали.
По закону? Всё зависит от конкретной ситуации.
Если Вы пнули в подъезде дверь, она открылась и Вы увидели пароль на стене, Вы преступник? А если Вы увидели его заглянув в окно? Всё это "использование ... для доступа".

В общем, на эту тему можно долго беседовать...
Продолжать не буду, времени нет, к сожалению.
Но хостер тоже, поступил не по гусарски, конечно. (если то, что написано в первом сообщении - соответствует действительности)

Конечно. Ведь пнули дверь не в подъезде, а в квартиру и без санкции её владельца. Даже если бы просто пнули и убежали, то уже заработали хороший пендаль от хозяина, а если ещё и разглядывать и выискивать что-то за этой открывшейся дверью начали, то навешать люлей за это - святое дело, а не деньги платить. Не всякое любопытство можно удовлетворять безнаказанно... Думаю, что так.

Кстати, если пошла такая пьнка. Просьбочка к ТС. Скажите на что именно был include (желательно с номером версии).
Чисто для общего развития.

От хозяина - да, это бесспорно И если бы хостер отключил за это - у нас бы вопросов не было. Это как в том анекдоте "бьют не по паспорту, а по морде", поэтому мы и уточнили что речь идет о последствиях по закону, а не по договору.
Кстати, попытку доступа к какому-то файлу далеко не всегда = попытке взлома. Мы вот как-то настраивали скрипты на хостинге после переноса, нас система безопасности раза 3 заблочила... пока мы не обнаружили что скрипты клиента не понимают новые пути нового хостинга, а часть путей со старого жестко прописаны.

И по поводу примера. Всё относительно опять же. Зависит от конечной цели.
Если мы увидим что дверь соседей выглядит странно, как будто она может быть открыта, то мы её таки пнем проверить, и если она откроется, то даже если мы увидим там пароль на стенке, то мы сообщим хозяину о том, что у него дыра в безопасности квартиры, а не просто равнодушно плюнем и пройдем мимо с интересом думая когда его ограбят грабители.

Интересная ситуация.
Сайт они, как я понял, прикрыли на время.
Не могу согласиться или раскритиковать действия ТС, но считаю, что за слова, от имени данного хостера, нужно отвечать. Соответственно, 50$ нужно перечислить.

Вот смотрите - я как то сделал "плохо" данному хостеру? Я удалил у него данные?
А ведь мог, я имел полный доступ в Директ Админ

Но нет! Я взял и написал ему, в чем моя вина тут?

Как мы уже говорили - "бьют не по паспорту, а по морде" ©
Скажите, если мы залезем к Вам в карман и подсмотрим данные паспорта и кредитки Вы к этому положительно отнесетесь когда мы сообщим Вам об этом или нет?

Я представляю интересы HBox.

Дейстивтельно пообещали ТС денег, но это мы сделали лишь для того чтобы растянуть время, чтобы обошлось все без последствий.
Вы как раз протестировали нас в тот день, когда был пересобран apache, и не успели эту уязвимость безопасности прикрыть.

А вот и сам шантаж:

Леша (19:59:50 16/11/2007)
ладно, вот кошель: Z426303616735 R995579087590 оплачиваете стоимость и все окейно
Нет - сами понимаете, на ХостОбзоре напишу точно
В комментариях укажите ***


Леша (20:00:27 16/11/2007)
До вечера срок у вас, всего доброго


И еще сообщения в таком вроде.
----- Либо платите, либо напишу про Вас плохо ----
Разве это не шантаж?


А сайтик, да, пока прикрыли. Дизайн на новый двиг натягиваем =)

В общем Вы лжецы. Оправдывать свои действия можете как угодно - факта лжи это не устранит.
Нет, это не шантаж.
Вы "(11:59:24 29/10/2007)" сами добровольно пообещали 50уе.
Однако "(19:59:50 16/11/2007)" (спустя 2 недели с лишним) выясняется что Вы не заплатили. А потом выясняется, что Вы лгали по поводу желания заплатить и не выполняете свои обещания.

Человек вместо того, что бы закатить истерику, взломать Вам сервер и т.д. и т.п. просто спокойно уведомляет, что если Вы не выполните обещанное, то он об этом напишет. Нет в этом никакого шантажа.

Вы знаете, мы ещё можем понять если бы Вы забыли, если бы по каким-то причинам у Вас не было бы денег, если бы Вы в конце концов пообещали бы выплату денег но начальник бы Вам запретил платить, или обещание Вы дали бы по ошибке или ещё что-нибудь в таком духе - накладки бывают, все могут ошибаться. Но чего нам не понять - так это преднамеренного заведомого обмана и последующих инсинуаций в сторону обманутого Вами человека который Вам же к тому же и помог.


Дизайнеру тоже небось денег "просто так" пообещали? Что бы растянуть время пока он дизайн сверстает "без последствий". А когда он придет просить обещанные Вами деньги, объясняя что иначе будет жаловаться, Вы его обвините в шантаже? Как так, негодяй, посмел требовать положенное и угрожать рассказать правду в случае если ему не сделают выплату положенного.

Интересно, как у кого-то даже язык поворачивается осуждать ТС:
ТС обнаружил, что "двери квартиры не заперты", однако не повесил об этом объявление на подъезде (хотя мог и в этом нет ничего противозаконного), а сообщил владельцу "квартиры, что у того проблемы с замком и предложил за вознаграждение показать, какие именно", на что "владелец согласился", а затем узнав в чем состояла проблема не выполнил свою часть договора, заключенного в устной форме
Надеюсь аналогия понятна. Другая аналогия: ТС обнаружил дырку одном из "карманов у хостера" и предполагает что в этом кармане лежит много денег. В результате он предлагает сказать хостеру, в каком именно кармане дырка, приватно за вознаграждение, а не сообщать об этом ближайшей толпе темных личностей/гопников и т.п. Хостер соглашается... К ТС притензии все еще есть?

Хостер

Потому, что он Вам эту работу не заказывал.

Остальное всё эмоции и лирика.

edogs и debugger, сменю свою точку зрения, если вы мне докажете, что ТС не целенаправленно искал по собственной инициативе уязвимости на сервере хостера. Хорошо было бы также, если бы меня кто-нибудь убедил в том, что такой поиск по чужим серверам ведется не с первоначальной целью "нарыть бабла" на этом.

вот иногда просто отказываюсь понимать, что пишут в последнее время на форуме.
я сам не паинька, ну так и не строю из себя праведника . всегда сам знаешь, где нашкодил.
ну ломанул сервак - молодец.хватило знаний. но "бровадить" то не надо перед всеми и рыцаря из себя строить в доспехах.
p/s у меня близкий друг есть, профи так сказать. работает в фирме по экстренному
вскрытию дверей, сейфов и прочего "замочного" хлама.
как думаете, если он пройдется по дому и поковыврявшись в замках, затем предложит людям
свои услуги ? думаю, что первый же нормальный хозяин, отучит его от прямохождения.и будет прав.
p/s правильно сделал владелец сервера. надо было еще и по башке дать. он не просил его ломать,
а по сему нехер лезть ( извиняюсь) да еще и клоунаду устраивать.
p/ss ... пройтись что ли по улице, да "попросить" у людей денежки. сказать, я же тебе не дал по голове сзади, а мог. дай "бабла" ... купи кирпич...
да вообще беспредел уже. под эти "песни" все что хочешь подтянуть можно и жить в роскоши.
p/sss да блин, даже говорить то тут что то бессмысленно вообще. правильно скзал выше Админ..
лирика все это.
... я тебе мог нагадить, но не сделал же.. благородный какой .. лять. в жизни все хвосты щемят по углам, потому как по челу получить гораздо проще .
я одно понял давно и говорил ранее. в инете человека видишь меньше-но узнаешь лучше.
-----
и рассуждать на эту тему даже не собираюсь.чушь это все и флуд.

отвечу цитатой из первого сообщения ТС:



Какой из этого может сделать вывод обычный человек? А очень простой - захотелось ТС найти себе хостинг и разместить на нем какой-либо проект - он нашел вроде бы подходящий по тарифам. Однако как узнать, профессионал ли хостер или недавний школьник/студент, который ничего не понимает в вопросах безопасности - можно ли ему доверить свою информацию? А очень просто - протестировать сайт/сервер хостера на очевидные баги с точки зрения будущего клиента. Тестирует и что же видит - а хостер-то уязвим и серьезно. Вывод: в данный момент ТС хостеру ничего не должен (хостер о нем даже не знает), т.ч. бесплатно и безвозмездно информацию о баге передавать было бы странно. Значит можно попытаться продать. Предлагает хостеру сделку, тот соглашается (это подтвердили обе стороны). Хостер получает информацию о баге, но свои условия не выполняет.

Никаких поводов для недовольства действиями ТС нет и не следует тут представлять из него злобного хакера, который специально искал дыру с целью шантажа. Доказательств этой версии нет никаких

Замечу: ТС не просто сказал про уязвимость, а сразу начал просить денег. Т.е. вынудил нас согласится.
Примерно так: Нашел уязвимость, давайте деньги - скажу что за уязвимость.

Поставьте себя на наше место...

Вы могли закрыть сайт "на профилактику" немедленно, как узнали что уязвимость есть и искать ее самим (в конце концов кто-то же отвечает у вас за безопасность - так пусть работает - кстати можно было вычесть деньги ,которые попросил ТС из его з.п.). Это был бы правильный выход. А так вы намеренно солгали и теперь пытаетесь найти оправдания. Выглядит не очень привлекательно - не правда ли?

1) после получения сервера с директадмином, стоит удалить файл /usr/local/directadmin/scripts/setup.txt
2) обидно конечно что нашли проблему не вы сами а какой то товарищ со стороны. однако было бы хуже если бы он продал эту информацию на соответствующих форумах (а такой сценарий вполне был возможен) и вам бы на сервер закачали бы всякой гадости за которую вы потом несли бы ответственность. а также ваши клиенты которые ни сном ни духом.
не берусь судить кто тут менее этично поступил однако давайте вспомним что мы живем не в условиях "развитого социализма" и наверное пришли уже к тому что добрые дела (а факт доброго дела есть) должны вознаграждаться не только на том свете.

Возможно я не прав - только в чем?

Да. Я решил спросить так скажем деньги - только за дело, а не за просто так.

А вот если бы я не указал на это - врятли бы вы сами догадались.

Тему прошу закрыть

....и почему я должен делать это бесплатно?

Закрываю.