Почему не надо давать доступ к серверу НИКОМУ

Однажды второго января мне начал звонить заказчик среди ночи. Звонил он целую ночь, целое утро, обзывал меня всякими словами, он клялся, что он меня догонит и утопит, и удавит. Всё просто, потому что его сайт взломали. Его большой-большой магазин взломали, и вместо продаж на этом сайте висело большое-большое такое объявление о том, что «необходимо пользователю ввести свой мобильный телефон. Он получит скидочный купон, пятое… десятое». 

Понятно, что Гугл и Яндекс тут же определили, что сайт подвергся вирусной атаке, и начали понижать его в поиске. 
Второго января, это был такой прямо дедлайн, причём работали все. Все плакали, все стенали, потому что нас сломали на уровне сервера, и сломали очень-очень грамотно, засадив в наш интернет-магазин огромное количество вирусни.

При чем, обратите внимание, это было второго января, когда все только-только отходят после новогодних салатов. И, соответственно, в это время ни разработчики, ни компании, которые могли бы нам помочь, они не работали. И, в принципе, магазин…, большой интернет-магазин нес ощутимые убытки, так, и репутационные издержки. Потому что все понимали, что ещё пару недель и Яндекс и Гугл опять отправят его в такие фильтры, что он оттуда никогда не выберется. 

Как мы это решали, и почему я не рекомендую вам повторять моих ошибок? 

Итак, мы в школе фриланса и это будет интересно, как для новичка так и для заказчика, для фрилансера. 
Вот перед нами есть такая карта. Здесь есть действующие лица. Я их сейчас назову. Наш урок называется, «почему не надо давать доступ к серверу никому, кроме…» Вот это очень важный момент. И вы уже «кроме» поставите для себя сами, у каждого своё есть понимание, как и кто, к кому имеет доступ. 

Я бы с самого начала хотел с вами обсудить и сказать, что такое сервер. Мы сейчас говорим про сервер, что такое сервер? 
Это компьютер, вот здесь, фотография (стойки с ПК), я специально поставил вам. Где находится, стойки, и на этих стойках находятся компьютеры. Каждый компьютер - это своеобразный сервер. Кто-то арендует полностью сервер, кто-то арендует часть сервера. Но, вот эти стойки, и они стоят в отдельном помещении, компании who is in провайдеры заботятся, чтобы там постоянно был сильный интернет, свет, температура, влажность, а разработчики имеют вход. У кого туда есть вход - FTP. У кого есть права - тот может изменять именно на уровне сервера файлы. Он имеет доступ прямо вот сюда (в серверную), в админку этого сервера. Может его перезапустить, залить файл, удалить файл, переместить, сделать папки на уровне сервера. Но на сервере находятся сайты. Это может быть один сайт может быть несколько сайтов. И вот уже у сайта есть администратор, модератор и пользователь. 

Так вот, друзья, надо понимать для себя четко и понятно, что ни администратор, ни модератор, ни, тем более, пользователь, не имеют доступа на сервер. На сервере лежит, то есть, на компьютере находится сайт. И у каждого из администратора, модератора есть свои уровни пользования, уровни доступа.

Пользователи могут просто смотреть сайт, листать странички, скачивать какие-нибудь файлы, что ему разрешили. Модератор может чистить комментарии, может править какие-то ошибки, но ничего, допустим, не заливать, а администратор уже может в админке сайта всё это делать. Причём, администратор всё равно обрезан в правах, ничего на сервер загрузить, помимо файлов, помимо фотографий, либо текста, он не может физически.

Соответственно, никакой вирус они сюда не могут залить. Более того, грамотный разработчик ставит хорошую мощную защиту, чтобы никто не прошёл. И, в случае, какого-то подозрительного файла сервер сообщает разработчику, и разработчик уже принимает решение, нужен тот файл или не нужен. 

Также есть ещё здесь контент-менеджер, который тоже может быть в этой, вот, связочке. Он может заниматься… наёмный сотрудник, это может быть фрилансер, который может быть, ставить фотографии, пятое…десятое. Никакого особо урона для сервера, где находится сайт, эти люди не приносят.

Потому что у них есть там степень защиты, у них есть свои права. 
Но, очень часто различные товарищи, которые хотят ставить те или иные программы непосредственно на ваш сайт, они требуют доступа к серверу. И вот, что было у меня.

Я вам просто расскажу свою историю, а вы уже сделаете выводы сами. 
Владелец проекта позвонил мне - менеджеру проекта, и попросил предоставить доверенному лицу FTP доступ на сервер. Аргументация была простая, и вы ее услышите десятки раз. 

- Я плачу, - говорит владелец проекта, - за сервер. Это мой сервер, и поэтому, будьте любезны, дайте вот этой даме доступ, пусть она будет контент-менеджером, и модератором, и ведёт все дела, smm, у неё должен быть FTP. 

Я сопротивлялся, но недолго, потому что, в принципе, а что может сделать эта дама, думал я. Но она там особо ничего не может. И очень, и очень сильно ошибался. Это дама, назовём её просто именем Анастасия. Эта дама наняла фрилансеров. Она наняла фрилансеров, и фрилансеры убедили её, эту мадам, даму, как угодно.

Фрилансеры убедили её, что им необходим FTP доступ на сервер, потому что фотографии на сайт по одной загружать долго, а вот, если они получат доступ на сервер, они просто туда быстренько зальют папочку с файлами с фотографиями, пятое…десятое… и всё будет хорошо. И вот эта дама по незнанию, по наитию, неважно как, я даже более того, она даже не знала, что так получится, она даёт этим ребятам или девчатам, непонятно, доступ по FTP. 

Ребята заходят на сервер и оставляют маленькую-маленькую папочку, называется вирус. Более того, вся работа была в августе. А потом, второго января шестнадцатого года мне звонок. Звонок прямо, пена со рта у владельца этого интернет-магазина, потому что нас взломали, причём нас взломали прямо бомбически, взломали.

Кстати, та девушка, она уже в компании на то время не работала, она уже ушла. И у нас даже в мыслях не было, потому что там, в принципе, на то время, на сайте работали только мы, администраторы, под моим руководством. Сначала был я, а потом вся эта команда. Соответственно я всю эту историю взял на себя. И, друзья мои, очень важный момент. Вам будут, черепную коробку вскрывать, туда тр****ть ваш мозг весь январь и весь февраль. 

Почему?
Потому что этот вирус был настолько круто спрятан, он же был у нас ещё и в бэкапах. Обычно, когда что-то случилось, мы восстанавливаем сайт из бэкапа и ву-аля. 

Мы восстановили сайт из бэкапа, мы арендовали новый сервер, мы разместили его там. И через два дня опять разворачивается эта вся история. Компания, просто…, мы занимались два месяца мастурбацией. Мы искали каждый файл, где, что лежит. Не зная огромный магазин с огромной кучей файлов. И вот это вся история была с криками с визгами этого самого заказчика. 

Но, после того, как мы удалили, я решил добраться до истины, потому что мне было интересно, кто нас так грамотно и серьёзно взломал. Оказалось, что вот эти ребята, такого-то… Мы просто сопоставили входы на сервер и поняли, кто нам туда это всё занес. Оказалось, что девушка, она долго не думая, разместила, внимание, разместила объявление на фрилансе.

Туда приходили люди, из Узбекистана, Казахстана, Белоруссия, Украина, не знаю, Папайя и Новая Гвинея… И она всем давала доступ FTP, там у нас на «серваке» был тупо проходной двор. Вы скажете: 
- Слушайте, там же у вас есть защита, там же у вас есть разработчики. 
Верно. Но, когда разработчики мне сказали, когда я им сказал, что, там есть вирусы. А они мне: 
- Но, а как вы хотели? Мы вас предупреждали, вы сказали, что: «убери там все доступы, дай, потому что это наше доверенное лицо». 

Это была наше доверенное лицо. И это доверенное лицо оно привезло туда огромную кучу. Я нанял компания по удалению вирусов. Эта компания сначала удалила вирусы. Она удалила. Мы просканировали всё, сайт чистый, условно. А потом, через два дня, я опять обращаюсь в компанию.

Говорю: 
- У меня опять, вот, вирус, - но уже несколько другой. Более того, у меня развилась чёткая паранойя. Я уже думал, что компания, которая удаляет вирусы, она мне «садит» новый вирус, потому что за каждое удаление я платил от 80 долларов до 200. То есть, мне это всё удовольствие обошлось в месяц нервотрепки, в деньги, которые я потратил, они прямо бешеные.

Потому что тогда надо было переводить, всё это возобновлять, нервы, бессонные ночи, а почему? А потому что я дал доступ тому, кого не знаю. А теперь, внимание! Если вы фрилансер, если вам заказчик требует и кричит, и говорит: 

- Отдайте, я плачу за сервер, я имею право туда пускать, кого хочу, ставить любые программы. Мой вам единственный совет, он первый и единственный, и последний - сначала собираете сервер или хостинг, что угодно. Делаете бэкап этого всего, отдаёте заказчику бэкап, отдаёте ключи от этого сервера, отдаёте все доступы от него, и у себя удаляете, требуете у него, чтобы он сменил пароль. Всё! 

Почему?
Потому что потом этот самый заказчик, несравнимо больше, будет кричать, визжать, топать ногами, обещать вас, убить, зарезать, расчленить. Просто потому, банально, что он сам «накосорезил». Понимаете? Потому что вы поддались на его, увещевание, нарушив безопасность. Вот здесь у меня четкая и грамотная позиция. Хотите доступ на сервер, где лежит сайт, я его отдаю. Но тогда я за него не отвечаю. 

Чтобы вам было совсем-совсем просто. 

Представьте, вы владелец автомобиля, допустим, такси. Вы купили mercedes, е-класса. Поставили его в такси. И у вас есть один водитель, один. И в случае, что-то случится с этим автомобилем, вы всегда знаете с кого спросить. Допустим, масло потекло, либо не залита, либо не поменяна резина. А теперь, просто, банально, представьте, что у этой машины два водителя. Когда там что-то сломается, через месяц вы обнаружите, что у вас помято крыло.

Один водитель будет говорить, что это Вася, а Вася будет говорить, что это Петя. Крайним будете вы. Поэтому, если хотите и дальше развиваться и хотите дальше стать настоящим профессионалом, запомните, FTP, любой доступ на сервер имеет только тот человек, кто материально отвечает за его безопасность. И только он принимает решение, давать доступ туда либо не давать.

Потому что, как только заказчик говорит:
- Я плачу за сервер.

Это пора расставаться. Пора оставаться друзьями, говорите, пожалуйста, вы платите, вот ваш сервер, вот ваши сайты, командуйте, но без меня! Думаю, что я был вам полезен. Приходите к нам в школу фриланса. Спасибо за внимание. До свидания!