Поступила ко мне однажды просьба от друга: перенести сайты на новый хостинг. Ну как же тут не помочь. Панелью управления хостингом являлась панель DirectAdmin, а все сайты были на joomla. Поэтому найти файлы конфигурации и ознакомиться с ними – труда не составило. После создания бекапов сайтов настала очередь сделать бекапы баз данных. Вроде бы все должно было быть очень просто. Но только не сегодня.
После того когда все было перенесено на новый хостинг и уже прекрасно работало, мне звонят и уверяют что контент на сайтах вовсе не тот, который должен быть. У меня сразу промелькнула идея о случайной подмене некоторых бекапов или неверных настройках файла конфигурации CMS. Но проверка положительных результатов ни принесла. А поскольку контент был для владельца сайта очень важен, пришлось еще раз попытаться все же найти необходимые бекапы. Я связался с техподдержкой хостинга и объяснил им ситуацию. Они же в свою очередь высылают мне полный бекап хостинга. Но и там необходимых бекапов не оказалось.
Я начинаю сравнивать контент сайтов на предыдущем и новом хостинге и вижу, что он действительно отличается. И я начал себе задавать вопрос: почему во всех конфигурационных файлах joomla имя пользователя базы данных было “root” а пароль и вовсе не указан? И здесь меня осенило … Да ну. Неужели? Не может быть.
Разворачиваю на хостинге SypexDumper. Ввожу “root” без указания пароля и жму волшебную кнопочку “войти” и вот что мы видим:

Sypex – список баз данных

Ну, вот он долгожданный ответ на вопрос: почему различается контент с идентичных бекапов баз данных? Шкодить мы не собираемся, а вот вопрос на ответ как такое могло произойти получить бы очень хотелось. Но ситуация оказалась довольно банальной: друг устанавливал все CMS с нуля, а не путем переноса с локального компьютера на хостинг. Настройки к базам данным он и не удосужился сменить (не обратив на это внимания). Благодаря выше описанной уязвимости все необходимые CMS были удачно проинсталлированы и не “задали лишних вопросов”. Остался только не отвеченным вопрос: откуда и зачем появились бекапы базы данных в DirectAdmin?
В качестве “печенек” друг получил 3 месяца бесплатного пользования хостингом.

Комментарии (6)


  1. fzn7
    15.03.2016 14:01
    +1

    Вообще друг все сделал правильно. Разворачивать окружение на новой машине нужно с нуля, дав отработать всем скриптам


  1. Iforgot
    15.03.2016 14:09
    +1

    Юзать для всех баз данных разных сайтов root без пароля это идиотизм, даже не смотря на то что мускул в сеть не смотрит (не дай бог phpmyadmin). Один юзер = один юзер мускула с паролем. Все же просто. За что друг получил 3 месяца хоста я так и не понял — за свою криворукость? Про джумлу вообще молчок!


    1. disem
      15.03.2016 14:19
      +2

      За что друг получил 3 месяца хоста я так и не понял — за свою криворукость?

      Насколько я понял, MySQL для рута без пароля шарился на всех пользователей хостинга.


      1. prishelec
        15.03.2016 14:21

        Да.


    1. prishelec
      15.03.2016 14:20

      Три месяца пользования в подарок за извещение об уязвимости.


      1. reji
        15.03.2016 18:03
        +4

        После слов "Получил три месяца" я ожидал слово "условно", но никак не "бесплатного хостинга". Удивлен.

        P.S. Хостинги — зло.