Cообщество пользователей SMF

Столкнулся с неприятным требованием от хостинг провайдера Fozzy обновить SMF 1.1.21 до 2.0.15. Правомерно ли это?

Предыстория такова. Установил форум SMF 1.0 и фотогалерею Coppermine Photo Gallery в далеком 2007 году на VPS Мастерхоста. Фотогалерея не понравилась и была отключена, но папка gallery на сервере не была удалена. Форум же потихоньку рос, при появлении новых версий единицы производились обновления, никаких проблем с Мастерхостом за 10 лет не было за исключением высоковатых тарифов.

В апреле 2017 года для сокращения расходов было принято решение перенести сайты к провайдеру с более низкими тарифами. После длительного чтения отзывов остановился на Fozzy, так как многие отмечали быструю работу их VPS,  а также четкую и оперативную работу техподдержки.

При переносе сайта возникли небольшие сложности. Помогло обращение к Алексею (Mavn), за что ему большое спасибо.

Вот уже больше полугода форум работает на vps от Fozzy, проблем никаких не было. Но несколько дней назад я вдруг получаю письмо от Fozzy, в котором говорится, что сайт подвергся взлому, в почтовой очереди находится несколько миллионов писем, работа почтового сервиса заблокирована.

Начали разбираться. Сканирование показало, что найдены два вируса в папке gallery. Эта папка была тут же удалена, так как в ней располагалась ненужная Coppermine Photo Gallery, которая использовалась всего пару дней при запуске форума, об этом сообщили в техподдержку.

На что техподдержка ответила:

"Обращаем Ваше внимание, на сервере присутствует ПО требующее обновления:
'/tmp/cxs/ip адрес/var/www/admin/data/www/site/forum/index.php'
Script version check [OLD] [SMF v1.1.21 < v2.0.15]

Пожалуйста, завершите работы по устранению уязвимостей на Вашей услуге и сообщите нам.
После решения данного вопроса работа почты будет восстановлена."

Переходить на вторую версию форума и заниматься её оформлением сейчас совершенно нет времени, в единице внесено много изменений в index.template.php и другие файлы. Хотя в будущем такой переход конечно будет сделан.

Поэтому возникает вопрос. Может ли хостинг провайдер с помощью отключенного почтового сервиса добиваться перехода на вторую версию форума? Или техподдержка перегибает палку и зачем-то выкручивает мне руки?

Ну как бы конфликт исчерпан если все вычистили и рассылки больше не будет.Другое дело что как я думаю хостер думает что у Вас дырявая версия ПО и его опять ломанут и все повторится.Тут я думаю нужно ему пояснить что 1.0 и 2.0 это как бы немного разные ветки форума хоть они и называются SMF.Это как у Жигулей - марка одна и моделей много
Для Вашей модели у Вас самое последнее ПО.Это все равно что требовать от пользователя ПК сменить Виндовс 7 на 10.
Просто поясните им что это разные ветки форумов SMF.Аналогию можете им любую провести.
У меня такое было тоже на одном из хостингов.Просили обновить да 2.1 бета2.

А-ха-ха! Пошлите их на три весёлые буквы, и переезжайте от этих неадекватов, к вменяемому хостеру.
Раз они такое предлагают, то естественно предложить им взвалить на себя все издержки переезда (на которые у вас нет времени). С чего они вообще взяли что взлом был из-за форума версии  v1.1.21, у них есть доказательства?
У вас сейчас установлен форум с последним обновлением, просто он версии 1.1.х, у него меньше функций в сравнении с версии 2.0.х, но это совсем не значит что он требует обновления на версию 2.0 в плане безопасности. Взлом происходит обычно из-за кривых плагинов, через который вас видимо и взломали (старую не обновлённую  галерею), ещё может из-за тупой поддержки хостинга (который увидев папку с вирусом, дает совет выпилить её, вместо того, чтобы порекомендовать найти вирусы и залитый шелл), из-за того что вы сами подхватили троян на свой компьютер (или другое устройство, с которого имели доступ на свой сервер), тут много способов, и самая последняя из них, взлом самого форумного движка, иначе бы, если возможность такая была, то уже бы все форумы на этой версии были взломаны, ну что-то о таком не слышно.

А так обновится конечно бы надо, но это не убережёт от взломов, по другим причинам (которую видимо вы так и не нашли, раз сразу удалили папку с вирусом).

Цитата: GeorG от 01 декабря 2017, 15:09:59А-ха-ха! Пошлите их на три весёлые буквы, и переезжайте от этих неадекватов, к вменяемому хостеру.

Как у меня было - посетили этот форум,пробежались по главной,О!Версия 2.1 бета2 самая последняя.Даже не вникая в нюансы начинают на полном серьёзе чуть ли не требовать обновиться.Потом меня же этим форумом ещё и тыкать начали.А когда послал....на оф. где красным написанно был конфуз.Хотя тоже вменяемый хостер,просто в тот момент видать так звезды или тараканы в голове у кого-то сошлись.

Ключевое Beta их на мысли не натолкнуло? Хотя ТП тоже люди разные сидят (посменно).

Цитата: GeorG от 01 декабря 2017, 15:51:23Ключевое Beta их на мысли не натолкнуло? Хотя ТП тоже люди разные сидят (посменно).

А их там ничего на мысль не наткнуло.Мысля в тот момент отдыхала.

Мой бывший форум, с которого я в силу личных причин ушел 6 лет назад, до сих пор успешно работает на 2.0 RC2      я все жду когда же он загнётся, но он все работает и работает

По Вашим рекомендациям написал в поддержку Fozzy:

SMF 1.х.х и SMF 2.х.х - это два разных продукта, примерно как windows 8 и windows 10. Переход на SMF 2.x.x требует значительного количества времени. Сейчас времени нет, но постараемся сделать это в течение трех месяцев. Хотя в сообществе форума отмечают, что SMF 1.x.x - это устойчивый форум, на котором рабоют десятки тысяч сайтов, и хостинг провайдеры никого не обязывают перейти на SMF 2.x.x.

В тот же день поддержка ответила:

Сергей, здравствуйте.
Мы передали предоставленную информацию в abuse отдел, по результатам сообщим дополнительно.

А еще через два дня от них пришел такой ответ:

Сергей,

Благодарим Вас за информирование касательно плагина SMF v1.1.21.

Согласно полученным результатам сканирования уязвимости самого серера не обнаружены, однако, к сожалению, присутствуют уязвимости Wordpress и Akismet:

'/tmp/cxs/ip адрес/usr/local/mgr5/var/aps/1.2/wordpress.org/WordPress/4.7.3-239/Plesk/undefined/undefined/undefined/htdocs/wp-content/plugins/akismet/akismet.php'
Script version check [OLD] [Akismet Anti-Spam v3.3 < v4.0.1]

'/tmp/cxs/ip адрес/usr/local/mgr5/var/aps/1.2/wordpress.org/WordPress/4.7.3-239/Plesk/undefined/undefined/undefined/htdocs/wp-includes/version.php'
Script version check [OLD] [Wordpress v4.7.3 < v4.9.1]

В субботу получено еще одно письмо:

Сергей, здравствуйте.

Уточните, пожалуйста, были ли завершены работы по устранению остаточных уязвимостей на сервере?

Планировал ответить в понедельник после работы. Но сегодня в обед получаю ответ от модератора, что форум не работает.
Проверяю два сайта на VPS от Fozzy, ни один не открывается.
Захожу на Fozzy и вижу очередной опус:

Здравствуйте, Сергей.

К сожалению, мы не получили от Вас ответ и были вынуждены заблокировать Вашу услугу.

Я им тут же написал:

Что Вы делаете, зачем Вы отключили сайты на площадке?
Прошу как можно скорее включить услугу, Вы ведь таким образом убьете результаты многолетнего продвижения сайтов в поисковых системах.

Сайты по-прежнему лежат.
В общем, я правильно понимаю, что техподдержка абсолютно некомпетентна, действует топорно и нужно срочно уходить от такого хостера? Очень хочется выругаться в стиле Лаврова.

Цитата: Boot от 11 декабря 2017, 19:25:38В субботу получено еще одно письмо:

В субботу и нужно было отвечать.Сразу же.

Цитата: Boot от 11 декабря 2017, 19:25:38В общем, я правильно понимаю, что техподдержка абсолютно некомпетентна, действует топорно и нужно срочно уходить от такого хостера?

Техподдержка большинства бы хостеров поступила бы точно так же.У меня вон на хостинге  VPS майнеры повадились,отрубают так же - первое и последнее китайское предупреждение.Нет реакции отключают,нет далее реакции - удаляют.

Ну как бы вырубать сразу это тоже никуда не годиться, а вдруг у человека проблемы неожиданные случились. Я когда в больницу с аппендицитом попал, то у меня вообще несколько дней форум неоплаченным проработал, я тех. поддержку даже не предупредил что в больнице валяюсь, так они бы тоже взяли и снесли его в тот же час, как оплата кончилась

Нет, так однозначно не делается на нормальных хостингах.