В веб-сервере Apache есть очень полезная функция server-status, которая позволяет администратору быстро посмотреть логи: текущую нагрузку на сайт, список запрошенных документов, IP-адреса пользователей и много других интересных сведений. Это простая HTML-страничка, на которую выводится вся сводная статистика. Иногда там попадается админская панель (admin-p) или другая конфиденциальная информация.

К сожалению, администраторы некоторых сайтов не уделяют должного внимания безопасности и оставляют страницу server-status открытой для всего мира.

Вот некоторые примеры:

http://www.lenta.ru/server-status/
http://www.sports.ru/server-status/
http://elementy.ru/server-status/

Конечно, российские сайты — далеко не единственные, кто напортачил. Здесь перечислены ещё сотни сайтов с открытой директорией /server-status/.

Проект составлен по результатам сканирования 10 млн крупнейших сайтов интернета, в результате чего обнаружилось 2072 сайта с открытым server-status.

Подсказка для админов: отображение server-status можно ограничить только для списка доверенных IP-адресов, см. инструкцию.



Оставить мнение