Люди азартны, а некоторые даже слишком. Они-то и пополняют ряды клиентов онлайн-казино. В частности, казино «Вулкан». Как и во всех подобных заведениях, там очень любят новых клиентов. Потому «Вулкан» предлагает всем желающим поучаствовать в их реферальной программе: вы нам клиентов, а мы вам 5% от заработка с них. Это привлекает некоторых, не слишком чистых на руку людей.
Правда, развернуться слишком широко у них не получается, потому что с 2014 года онлайн-казино в России запрещены. От слова совсем. Причём с 2015 года их сайты
Летом этого года один из клиентов прислал нам письмо, в котором пожаловался на взлом его сервера. Мы нашли пострадавших и разослали им сообщение, в котором констатировали факт заражения, объяснили, как это произошло и что с этим делать. Попросили обновиться. «Старый конь борозды не испортит» — это не про индустрию программного обеспечения, тут старьё может всё поле перепахать.
На этом успокоились. Дело в том, что мы предлагаем серверы как есть — с имеющимся в наличии ПО и без администрирования. Например, когда-то раскупали машины с ОС FreeBSD 6, системой виртуализации FreeBSD Jail и панелью управления веб-хостингом ISPmanager 4.x. Мы считаем, что клиенты лучше нас знают, что им действительно нужно. В том числе — хотят ли они обновлять ОС и прочее ПО, которое стоит на сервере. Немало из наших клиентов обновляться не торопятся. Чем и воспользовались взломщики — через дыры старого ПО подсадили вирус, направляющий трафик совсем не туда, куда следует.
То же самое случилось и с автором заметки, ставшей поводом для этого рассказа. Обнаружив у себя вирус cli.php, снабжающий трафиком онлайн-казино «Вулкан», он поинтересовался, не одинок ли в своём несчастье. Оказалось, что нет. Так возникла новость про 3000 взломанных сайтов на 1000 серверах. В роли координатора вируса выступил домен 0x31.ru, владелец которого и получал нетрудовые доходы от реферальной программы казино.
Естественно, мы не смогли пройти мимо такого известия, и провели своё расследование.
- Проанализировали серверы со старыми OS: FreeBSD 6, FreeBSD 8, CentOS 5 и так далее.
- Подключились к тем серверам, к которым можно было подключиться (некоторые клиенты закрывают доступ к своим серверам по IP).
- Нашли на этих серверах файл зловреда cli.php.
- Сравнили дату создания и дату модификации этого файла (в 99% случаях они совпали). Приняли это значение за дату взлома.
- Для каждого файла посчитали контрольную сумму MD5. Сгруппировали по контрольным суммам.
Любой владелец VDS может самостоятельно проверить свой сервер:
Freebsd:
find /home -name .cli.phpLinux:
find /var/www -name .cli.phpВсё оказалось как в том анекдоте: «ужас, конечно, но не ужас-ужас». Нам удалось выявить домены, управляющие зловредами (сюда входит и вышеупомянутый 0x31.ru). Также мы обнаружили 7 контрольных сумм файла cli.php, которые распределены следующим образом:
| Контрольная сумма | Количество заражённых сайтов | Доля от общего количества |
|---|---|---|
| MD5 1 | 644 | 33,82% |
| MD5 2 | 732 | 38,45% |
| MD5 3 | 2 | 0,1% |
| MD5 4 | 1 | 0,05% |
| MD5 5 | 69 | 3,62% |
| MD5 6 | 2 | 0,1% |
| MD5 7 | 454 | 23,85% |
Общее количество инфицированных сайтов — 1904.
Далее мы отсортировали все найденные версии cli.php по дате заражения:
| Год | Доля от общего количества |
|---|---|
| 2009 | 0,45% |
| 2010 | 2,59% |
| 2011 | 4,22% |
| 2012 | 14,89% |
| 2013 | 13,39% |
| 2014 | 5,94% |
| 2015 | 6,8% |
| 2016 | 51,7% |
То, что на этот год приходится половина всех заражений, объясняется просто: это статистика по состоянию на «сегодня», а с 2009 года владельцы серверов успели обновить ПО и удалить зловред. К тому же новые клиенты постоянно нужны всем, в том числе и казино, так что вирус не успевает покрыться пылью — инструмент востребованный, не залёживается. Хотя даже если cli.php и находится на сервере, то ещё не факт, что тот всё ещё заражён. Был заражён — да. А если владелец VDS обновил ПО и закрыл уязвимости, то и зловред перестал работать.
После этой истории мы проявили инициативу и обновили всем пользователям ISPmanager 4.x до последней версии в этой ветке. В ней уже нет вышеупомянутой уязвимости.
Но всё же ещё раз всем напомним: почаще обновляйте ПО на серверах. Они этого заслуживают.
Комментарии (85)
Redaicd
03.10.2016 15:03Я для выявления подобного использую самописный скрипт запускаемый через nagios, который проверяет контрольные файлов и в случае выявления различий, новых или удалённых файлов информирует причастных. Дополнительно он делает diff изменённых файлов, что позволяет знать, что и когда менялось
artemirk
04.10.2016 05:56Недавно изучал подобные возможности «из коробки».
По факту есть возможность у saltstack указываешь md5 и путь до файла. И начинается контроль изменения при запуске (хотя он может и просто переписывать).
И у monit есть возможность следить чтобы md5 не менялось.
Так же хорошо использовать etckeeper который по умолчанию отслеживает изменения в /etc но его можно и натравить на другие папки.
Все остальные пути упираются в сриптописательство с inotify, git, md5 кому что более нравится.
Проблема в том что этим должен заняться админ сервера, которому понятно кто и что меняет. С хостера взятки гладки.
osj
03.10.2016 15:55+1Но всё же ещё раз всем напомним: почаще обновляйте ПО на серверах. Они этого заслуживают.
JustRamil
03.10.2016 17:26Объясните пожалуйста, что это за обновления такие и в чем их смысл?
artemirk
04.10.2016 05:58Я думаю в вашем случае некорректно отрабатывает модуль отображения этой страницы. На официальном сайте в этих обновлениях есть подробные описания: https://www.ispsystem.com/software/ispmanager/changelog
pessom
03.10.2016 17:57FirstVDS, спасибо за прояснение с этой ситуацией. Арендую у Вас VPS на debian.
Хоть и использую строгие правила конфигурирования iptables и автоматику ansible для конфигурирования, но опасения остаются.Erelecano
04.10.2016 07:43+1Живой клиент российского хостера! Смотрите, люди!
Скажите мне, а какой смысл арендовать виртуалку у российского хостера, при том, что железный выделенный сервер с параметрами лучше, чем виртуалка у этого хостера стоит дешевле? Например я арендую у OVH сервер с 4 гигами рама и 500 гигами харда за 5 евро в месяц, посмотрите сколько стоит 4 гига рама у вашего горе-хостера. Я уж молчу про то, что работая с российским хостером вы должны забыть о законе и своих правах на защиту, российские хостеры работают по понятиям, а не по законам.
FirstJohn
05.10.2016 09:16Многим требуется русскоговорящая поддержка. Есть еще закон о персональных данных. Кто-то просто любит свою страну :)
KorP
03.10.2016 18:16+3А где, собственно, про взлом то?
HabrDev
03.10.2016 21:04-4А что вас смущает? Это же виртуальный сервер, поэтому хостер может получить доступ к файловым системам своих клиентов независимо от используемой системы виртуализации. Тут уже идёт вопрос доверия к хостеру (как правило, нормальные хостеры не пользуются этой возможностью без предварительного уведомления клиента). Параноикам стоит использовать шифрование, или же вообще отказаться от аренды виртуальных серверов.
KorP
03.10.2016 21:26Да какая собственно разница — виртуальный, физический или вообще shared… Это по-моему вообще не нормально и дело тут совершенно не в паранойе.
HabrDev
05.10.2016 08:56Немного не ту ветку попал предыдущий мой комментарий. Я согласен с вами, что проводить какие-либо действия со стороны хостера с файлами клиента без разрешения клиента это не нормально. С другой стороны от таких действий никто не застрахован в виду технических особенностей реализации систем виртуализации.
KorP
05.10.2016 09:01Знаете, на мой взгляд говорить
в виду технических особенностей реализации систем виртуализации
ну как то не правильно. я далеко не со всем работал, но что в hyper-v, что в vmware просто так из файлов виртуалок данные с виртуального харда не посмотреть, это всё-таки не shared хостинг.
с тем же успехом можно провести аналогию — оружие вполне можно приобрести, но убивать кого угодно на лево и на право вам никто не позволит, хотя технологии — позволяют это осуществить.
KorP
03.10.2016 18:20+4И, кстати, на сколько это правильно, что хостер имеет доступ к данным пользователя на VDS?
artemirk
04.10.2016 06:07+2И кстати насколько это правильно что повар в ресторане трогает продукты которые вы будете есть?
Особенность технологии. Как и в ресторане.
Если вам требуется единоличный доступ к данным то надо ставить сервер под стол в офисе или в закрытую стойку в цоде (ключи должны быть у вас). Хостер точно так же может получить доступ к данным с выделенного сервера.
Хотя есть один дешевый способ с некоторыми минусами. Шифрование раздела с данными. В этом случае после каждого ребута необходимо будет производить действия для рашифровки и мириться с некоторым оверхедом по скорости.
Хостер по факту сам не совсем хочет доступ к данным пользователя. Тогда можно будет разводить руки на запросы из МВД и в случае проблем внутри VDS всегда будет понятно что сотрудники хостера не при чем.
Если не секрет, а чего вы боитесь от хостера?
KorP
04.10.2016 06:23+1Вот не соглашусь я с вами про «Особенность технологии».
Я сам работаю в облачном провайдере, и что то у нас по VPS клиентов никто не лазит, только в случае если мы их и администрируем.
Запросы от мвд это другое, и то на сколько я понимаю — для этого нужно какое то решение суда, а не просто запрос — «а покажите».
И пример с поваром — не совсем корректен, а вы будете явно против если охранник на стоянке будем спать в вашей машине, просто по тому что она там стоитFirstJohn
05.10.2016 09:19И у нас тоже никто не лазит по VPS клиентов. :)
Erelecano
05.10.2016 15:17А статье написано, что вы лазите по виртуалкам клиентов и изменяете файлы по своему усмотрению без согласия клиентов. Статье верить или комменту? Я верю статье.
FirstJohn
06.10.2016 07:14И это верное решение, ведь в статье описаны вполне конкретные вещи, направленные на защиту хостинга и его клиентов.
Erelecano
06.10.2016 07:17В статье прямым текстом сказано «Залезли по велению левой пятки и поправили файлы по своему желанию». Завтра вы поправите содержимое сайтов клиентов, а послезавтра украдете их домашний фотоархив.
Erelecano
04.10.2016 09:48+1Давайте я попробую вам объяснить на примерах понятных людям далеким от IT.
Представьте себе, что вы живете в квартире в доходном доме и владеющая им организация имеет ключи от вашей квартиры, такая ситуация нормальна в странах в которых существует практика доходных домов. Эти ключи никогда не используются по собственному усмотрению сотрудников фирмы, они для экстренных случаев и никто без вашего ведома или без сопровождения полиции(если вдруг из вашей квартиры потянуло мертвечиной) к вам не вломится. И вдруг сантехник Джон берет ключ, идет в вашу квартиру и меняет вам кран. Сам. Без извещения вас. А попутно подкидывает вам пару кг героина, ну или не подкидывает, кто его знает. Какова будет ваша реакция на такие действия Джона?
Я, к примеру, храню на сервере арендуемом домашний фотоархив и я категорически против того, что бы сантехник Джон из фирмы у которой я арендую сервер вламывался ко мне и делал все, что ему вздумается.
Если бы я был клиентом FirstVDS и увидел сегодняшнюю новость, то я бы подал заявление в СК РФ по факту незаконного доступа к охраняемой законом информации, ибо у меня на сервере еще и почта, а право на тайну переписки(любой) охраняется напрямую Конституцией РФ.
Вы защищаете позицию взломщиков.
lomalkin
05.10.2016 06:21Я не очень понимаю, за что именно сейчас поливают Фест, и о каком «доступе к личным данным пользователей» идет речь в комментариях. Согласно тексту статьи были произведены следующие действия:
<...>Естественно, мы не смогли пройти мимо такого известия, и провели своё расследование.
- Проанализировали серверы со старыми OS: FreeBSD 6, FreeBSD 8, CentOS 5 и так далее.
- Подключились к тем серверам, к которым можно было подключиться (некоторые клиенты закрывают доступ к своим серверам по IP).
- Нашли на этих серверах файл зловреда cli.php.
- Сравнили дату создания и дату модификации этого файла (в 99% случаях они совпали). Приняли это значение за дату взлома.
- Для каждого файла посчитали контрольную сумму MD5. Сгруппировали по контрольным суммам.
Насколько я понимаю, было произведено сканирование диапазонов адресов серверов хостера из внешней сети, например:http://ip_addr:80/cli.php https://ip_addr:443/cli.php
Это можно сравнить с услышанным шумом из квартиры. После обнаружения потенциальной проблемы единственное, что было сделано — это автоматически были посчитаны хеши обнаруженных файлов и даты модификации (предлагаю сравнить с фотографиями через окно). Сами хеши не были нигде опубликованы (ведь на самом деле, мало ли что в этих файлах лежит), их содержимое не проверялось. Модификации пользовательских данных не производилось.
В чем же заключается проблема, кроме формального «вы не имеете права»?
Ситуация подозрительно напоминает общепринятую практику — массовый сброс паролей пользователей на каком-нибудь сервисе после слива другой базы с почтами и паролями, если пользователь был там зарегистрирован и пароль от сервиса совпадает с паролем от почты. Этого тоже не стоит делать?
P.S. Являюсь клиентом в т.ч. этого хостера с 2009 года.Erelecano
05.10.2016 06:24Они зашли на чужие сервера и внесли изменения по своему усмотрению. Не важно, что они меняли, важен сам факт. Они незаконно вломились и изменяли файлы. О каком доверии к хостеру заходящему на твою виртуалку и творящему там то, что ему придет в голову может идти речь?
VPS-провайдер не имеет право заходить на впски клиентов и что-то менять. Сам факт захода говорит о том, что они плевали на уважение к клиентам.lomalkin
05.10.2016 06:28Возможно, что я плохо прочитал статью.
Подскажите пожалуйста, где написано, что изменения производились и какие?Erelecano
05.10.2016 06:34>После этой истории мы проявили инициативу и обновили всем пользователям ISPmanager 4.x до последней версии в этой ветке. В ней уже нет вышеупомянутой уязвимости.
Видите или оплата от этих взломщиков глаза закрыла? Они внесли изменения в файлы на виртуалке по своему усмотрению без согласия владельцев. То есть мало того, что они вломились туда куда нельзя и получили доступ к частным данным, но они меняли информацию. Сегодня они зашли «обновить» что-то и покопаться в ваших файлах, завтра они сольют вашу почту и подкинут вам ЦП. Они — преступники.lomalkin
05.10.2016 06:53А, т.е. речь идет об обновлении панели управления до версии с закрытыми уязвимостями. Да, пропустил.
> Видите или оплата от этих взломщиков глаза закрыла?
А вам не заплатили и поэтому конструктивного диалога не получается? Интересная логика =)
Итак, вопрос на самом деле интересный. Можете прокомментировать, мой пример про сброс паролей, что вы об этом думаете?
P.S. Когда-то давно ISPManager шел из коробки вместе с хостингом, что про это было написано в TOS я не помню, но сейчас это стало дополнительной платной услугой, т.е. можно купить сервер без нее, предполагаю, что раз это услуга (как уборка квартиры), сам по себе ISPManager не является «пользовательскими данными», это не просто «файлы на виртуалке», то она предоставляется по отдельным правилам (я с ними не знаком, т.к. не пользуюсь этим продуктом сейчас).
Если продукт дырявый, то возникает закономерный вопрос — должны ли поставщики услуги предоставлять качественную услугу? Что они должны для этого делать?Erelecano
05.10.2016 07:13Речь идет об изменении файлов на арендованной виртуалке без согласия клиента. Не важно какие именно файлы были изменены, важно, что они вламываются на виртуалку и меняют файлы по своему усмотрению без согласия.
> Если продукт дырявый, то возникает закономерный вопрос — должны ли поставщики услуги предоставлять качественную услугу?
Дырявый-шмырявый, не важно. Важно, что к файлам на виртуалке они прикасаться не должны. Софт на виртуалке — проблема клиент и точка.
Я еще раз скажу, что изменение и удаление сегодня файлов типа связанных с «вирусом» означает, что завтра они удалят вашу почту и подложат вам на сайт ЦП. Вы понимаете, что они вломились в вашу квартиру и сделали там то, что посчитали нужным не спросив у вас?lomalkin
05.10.2016 07:19> Речь идет об изменении файлов на арендованной виртуалке без согласия клиента. Не важно какие именно файлы были изменены, важно, что они вламываются на виртуалку и меняют файлы по своему усмотрению без согласия.
Возможно, что клиент дает свое согласие на «установку и обновление» при подключении услуги. Очевидно также, что они не могли ничего обновить там, где ISPManager не используется (клиент не подписан на услугу).
И все-таки попробую последний раз спросить у вас мнение по поводу аналогии с массовым сбросом паролей, не касаясь хостинга. Правильно ли это делать, по вашему?Erelecano
05.10.2016 07:20Вы не видите разницы между автоматизированным сбросом паролей на сервисе который принадлежит тебе и вторжением без согласия клиентов на их сервера?
lomalkin
05.10.2016 07:26Вторжением вы называете внеплановое обновление ПО, которое установлено на сервер (арендованый, не собственный) клиента, в рамках оказания этой дополнительной услуги?
Erelecano
05.10.2016 07:51Я так называю несанкционированное клиентом изменение любых файлов на его виртуалке. Еще раз НЕСАНКЦИОНИРОВАННОЕ КЛИЕНТОМ. Если бы эти прекрасные люди разослали письмо, что «Раз уж вы настолько глупы, что арендуете виртуалки у российского хостера, то мы просим у вас разрешения зайти на ваши сервера и изменить любые файлы по своему усмотрению, отсутствие ответа в течении 72 часов будем считать согласием», то я бы не был столь возмущен их поведением.
С санкции клиента они могут подкладывать ему ЦП, читать его почту и так далее. Но только с санкции клиента.
Jammarra
05.10.2016 08:38Вот надо просто останавливать взломанные VDS, а потом удалять за нарушения правил предоставления услуг. Если ответа нет. Ибо не чего трогать пользовательские данные и разводить зоопарк вирусов.
Но говорят клиенты не оценят =) Врут наверное.
Erelecano
04.10.2016 07:44+2Ни на сколько. Вламываться на арендованную виртуалку и делать там что вздумается(как это описано в статье) совершенно неприлично. Это очень хорошо показывает почему с российскими хостерами нельзя иметь дело.
KorP
04.10.2016 08:03+2Это был риторический вопрос, я с вами полностью солидарен
Erelecano
04.10.2016 08:26+3По большому счету можно писать новость «Российский VPS-провайдер FirstVDS в своем блоге на сайте Хабрахабр официально признал, что пользуется своим доступом к данным пользователей и вносит изменения в данные расположенные на виртуальных серверах клиентов по своему усмотрению». Потому что если они считают себя в праве что-то менять в софте, значит они считают себя в праве менять все что угодно и в пользовательских файлах, разницы нет. Я уж молчу про то, что на виртуалках может крутиться софт который разработан пользователем и к которому не должен иметь доступ посторонний.
Их статья — хорошее дополнение к причинам почему нельзя использовать российских хостеров и я буду ее показывать клиентам, в качестве объяснения.KorP
04.10.2016 08:29+2Печенек этому господину!
Erelecano
04.10.2016 08:49Спасибо, у меня уже есть :)
KorP
04.10.2016 08:51+1Стратегический запас печенек никогда не бывает лишним, вдруг зомби апокалипсис?!
Erelecano
04.10.2016 10:08Если зомби-апокалипсис, то тут уже не печеньки, тут уже монтировка нужна. Вот монтировки нет, можно выслать за хороший комментарий.
P.S. Приятно в вашем лице видеть адекватного сотрудника VPS-провайдера, который офигел и возмущен таким наглым поведением FirstVDS.KorP
04.10.2016 11:44Нужно хабру предложить выдавать урановые ломы за лучший каммент :) Есть же поощрение авторов постов, пусть будет и для авторов камментов :)
Спасибо :)
foxmuldercp
04.10.2016 11:46Работаю в хостингах последние надцать лет, от саппорта до хостмастера.
Если кто-то думает, что я лажу по клиентскому контенту, почте, сайтам и фотогалерейкам в поисках клубнички, потому что мне на работе нечем заняться, то этот кто-то ошибается более чем на 146%.
А в нормальных панелях управления (да, я такое встречал, очень годно сделанный внутренний проект) саппорт, например без смс/емейл подтверждения на выполнение конкретных действий вообще не имеет доступа к клиентскому контенту. только общая информация вроде квот/количества ящиков и их размер
Нет, на сам сайт броузером я зайду с удовольствием, посмотрю, что клиент предлагает, я так
находил проекты, которые помогали мне и моим друзьям решать разные проблемы/задачи, при этом клиент мог и не знать, как я его сайт нашел.
Но в код контента я лезу исключительно на посмотреть в случае спама или подозрения на клиент ботнета, что в старых проломанных жумлах или вордпрессах бывает с регулярностью несколько раз месяц на сервер, чтобы обьяснить клиенту, что вот у вас вот там и там странные скрипты, которые создают проблемы вашему сайту, его рейтингам и нашему серверу, посмотрите их, пожалуйста сами.
Как-то так.
KorP
04.10.2016 12:27+1Вам понравится, если у ЖЭКа будут ключи от вашей квартиры и в момент вашего отсутствия придёт сантехник починить вам кран? Казалось бы — похвальное дело, но не будет ли потом не очень приятно сидеть на своём любимом диване и думать о том, что он там мог и голой попой своей посидеть, или принять душ в вашей ванной, или воспользоваться вашей зубной щёткой?
То что вы делаете — очень хорошо с одной точки зрения, а с другой — очень не хорошо. А вдруг это интернет-магазин садо-мазо атрибутики, а там в cli.txt хранится список покупателей с фамилиями… а там сплошные депутаты… м?
Опять-таки — вы же не просто так проверяете всех клиентов на наличие гадостей, к этому всегда есть какие то предпосылки — почему подобные работы заранее не согласовать с клиентом, а не ставить его в известность по факту проверки?
Но вообще тезисные я понял — отсутствие нормальных средств ограничения — вот главная проблема.artemirk
04.10.2016 13:34Я с вами абсолютно согласен. Но по факту поменять надо было кусок трубы под ванной, из которого бежала вода и который не видно никому. Да это огорчительно что сантехник ко мне зашел и поменял трубу, уведомив меня по факту. Но я благодарен ему за то что все мое имущество осталось сухое и я не должен делать ремонт соседям.
Далее наш разговор упрется в разные токи зрения и как мы будем называть трубу/кран. Я принял решение не продолжать дельнейший спор. Но спасибо за то что озвучили свое мнение и ответили на мой вопрос.
Я уверен что вас есть другие решения мимо хостинг компаний.foxmuldercp
04.10.2016 13:43Я могу привести аналогию с тем, что стояковая труба идет через все квартиры в старых хрущовках, и хотите вы или нет, рано или поздно я к вам припрусь с бумажками, краном и туевой хучей народа этот стояк менять.
Но время работ я буду очень тщательно согласовывать.
И да, в меом случае — смотреть в контент != создавать/удалять/обновлять/изменять.
И да, я банально не знаю php на уровне "исправить" проблему, но для диагностики и нахождения странного кода с вирусом моих знаний вполне хватает.
foxmuldercp
04.10.2016 13:51На большом хостинге реально несколько сотен если не тысяч сайтов на одном сервере, а команда сапорта небольшая обычно, и у народа просто нет времени и желания в этом всем ковыряться
SunX
04.10.2016 13:06+1Тут, знаете ли, очень щепитильная ситуация образовалась: Человек написал статью «У FVDS все плохо их взломали». Конечно в итоге стало понятно, что сами-то FVDS вроде бы и не при чем, но люди, видящие такую статью будут думать, что во всем виноваты FVDS и у них дырявые VDS, компания от этого терпит репутационные и вполне себе материальные издержки.
Потому после долгого обсуждения в узком кругу видимо было принято решение, что для репутации компании лучше все же вломиться в квартиры жильцов и замазать дыры в стенах без их (жильцов) на то просьбы. То есть зайти на ВДС и обновить панельку.
Я некоторое время назад сам работал в Фесте и поверьте, сотрудник сделает все, что бы ему не пришлось залезать на Вашу ВДС и делать там что-либо (только если Вы его об этом прямо попросите).foxmuldercp
04.10.2016 13:40Я об этом пару коментов назад и написал.
Когда вордпресс массово ломали через ping-алку, мне тоже пришлось пойти на крайние меры навесив .htacesss. В результате свалилось немного писем со спасибами и парой литров пива )
Клиенты в большом проценте случаев сайтов шаредхостинга — не знают и не думают об обновлениях своих сайтов, т.к не подкованы технически :(KorP
04.10.2016 14:01По поводу shared хостинга — я соглашусь, ввиду того что это действительно может отразится на «соседях», но VPS/VDS это всё-таки немного другая ситуация
foxmuldercp
04.10.2016 15:46Если опенвз/клаудлинукс/lxc — то в принципе обычный шаред, если квм/гипервишные виртуалки, то там можно и шифрование внутри и уже просто так не долезть с хостового сервиса, но и мониторить можно только косвенно полосу/иопсы/память/проц
Erelecano
04.10.2016 17:38-1> что для репутации компании лучше все же вломиться в квартиры жильцов и замазать дыры в стенах без их (жильцов) на то просьбы. То есть зайти на ВДС и обновить панельку.
В случае с квартирой это будет называтсья «Незаконное проникновение в жилище» и сантехник сядет в тюрьму, отдавший ему приказ сядет в тюрьму(за организацию преступления), а контора получить многомиллионные иски. Тут должно быть так же. Это проникновение в чужое жилище без ведома хозяина.SunX
05.10.2016 18:53+1Ну раз уж мы с Вами о квартирах, то если Вы уехали в отпуск (т.е. стали недоступны для всех на некоторый срок), а у Вас прорвало трубу (сломался кран\загорелась проводка\взорвалась газовая плита) и (нижние) соседи от этого не в восторге, то все это решается гораздо проще и Ваше согласие в итоге никого интересовать не будет, плюс Вам еще и счет за это выставят наверняка (+ соседи будут с Вас требовать денег за нанесенный ущерб).
Тут ситуация похожая. Не удивлюсь, если даже в лицензионном соглашении у Феста написано, что если Вы на своей VDS решили разводить вирусы и делать прочие запрещенные в РФ вещи, то компания имеет право что-нибудь с этим поделать.
Наверняка юридически было бы правильнее все эти VDS остановить и клиентам написать: «У Вас вирус, потому мы погасили ВДС, разбирайтесь». Но клиенты очень не любят такое и потом на каждом углу кричат, что их обманули, обокрали и вообще; в итоге кто-нибудь написал бы статью «FVDS без причин остановил тысячи VDS, убытки клиентов оцениваются в $10M».Erelecano
05.10.2016 19:22Ваш пример не корректен. В случае аварии квартиру будут вскрывать в присутствии полиции и понятых, а счет за прорвавшуюся трубу направят моей домоуправляющей конторе, ибо за трубы до отсекающего крана отвечают они.
Тут никаких аварий не было, а был чистый взлом и изменение файлов. Считайте, что они зашли и вместо вашего телевизора оставили вам советский Фотон-714.
Я не могу понять людей защищающих хостера вломившегося на чужие сервера и вносившего там правки, как ему вздумается.
tuupic
06.10.2016 05:23Какая полиция и понятые? Полиция только в случае преступлений работает, а не в случае аварий. Пока до них всё дойдёт, уже все соседи залиты будут. В доме, где живу, при включении квартиры, в одной порвало трубу, квартира не жилая, куплена для детей впрок, владельцы живут в другом городе. УК вскрыла дверь и устранила проблему, владельцев только по телефону уведомили, они и благодарны были, что всё так просто решилось(а то по-вашему, должны были получить подпись владельца, нотариально-оформленную) Я думаю, соседи снизу(да и весь дом тоже, так как пришлось отопление отключить по всему дому) линчевали бы владельцев за подобную задержку.
p.s. мчс тоже не парится с документами и т.д., при вскрытии. Ребёнок в квартире зовёт на помощь — вскроют дверь, а дальше трава не расти.Erelecano
06.10.2016 05:40Обычная полиция. У меня в мая была ситуация, что в квартире от которой у меня есть ключи и я — единственный обладатель ключей на 1000 км вокруг, в мае протекла труба. Труба протекла 1 мая и соседка снизу обратилась в домоуправляющую контору. Они попытались связаться с хозяевами, но сходу не смогли, обратились в полицию, но те ответили, что вскрывать не будут, так как пока формальной причины нет. Всему стояку была перекрыта вода. Вода оставалась перекрытой до 11 мая, когда смогли дозвониться до хозяйки квартиры, а та связалась со мной. Я приехал, открыл квартиру и пустил представителей ДК посмотреть в чем дело.
10 дней 5 квартир было без воды. Полиция отказывалась вскрывать, потому что оснований нет, а домоуправляющая контора не готова совершать преступление.
Так что вы дальше рассказывайте, что случилось в доме знакомого дедушки знакомой вашей знакомой, а я рассказываю, что случилось с квартирой ключи от которой у меня.
И полиция с ДК были правы, вскрывать они права не имели.tuupic
06.10.2016 05:44+1Простите, а вы читать умеете? Это случилось в моём доме, написано как бы.
Erelecano
06.10.2016 05:51-1Только вы не можете знать что случилось, ибо вы не принимали участие, а сейчас рассказываете мне сказки. А я говорю о том, что случилось с квартирой ключ от которой прямо сейчас у меня в правом кармане. Видите разницу?
tuupic
06.10.2016 05:55«Принимал участие» — это нужно свечку держать было?
Могу также ответить, что вы сейчас рассказываете мне сказку. В чём разница? Ваша правда против моей.
Я говорю, как было, вы можете верить, можете не верить, ваше дело.
Mysterion
05.10.2016 09:00Ну так как речь наверняка о VDS на OpenVZ, то хостер так или иначе будет иметь доступ к файлам независимо от хостинга.
Думаю, сканировали файлы они с согласия клиента в тот момент, когда анализировали причину возникновения шеллов.KorP
05.10.2016 09:03Думаю, сканировали файлы они с согласия клиента в тот момент, когда анализировали причину возникновения шеллов.
Общее количество инфицированных сайтов — 1904.
судя по камментам автора поста — с более чем 2000-ми пользователей они ничего не согласовывали
AkelM
05.10.2016 09:00Вообще, это не совсем корректно, как мне кажется, но пользователи сами выбирают дешёвые VDS на базе OpenVZ, LXC, а они предоставляют таки возможности. Тот же QEMU или XEN не даст доступа к гостевой системе без пароля или его обхода, на сколько я знаю.
KorP
05.10.2016 09:04Ну опять-таки — пользователь VPS/VDS не очень то и обязан разбираться в виртуализации и во всех существующих продуктах и их возможностях. А то, что хостер пользуется такими возможностями без ведома владельца — крайне не корректно, о чём сейчас и идёт речь
Mysterion
05.10.2016 13:04А то, что хостер пользуется такими возможностями без ведома владельца — крайне не корректно
Это особенность виртуализации. AkelM имел ввиду возможность загрузки шелла непосредственно через ноду, а не через контейнер. Что, кстати, имеет место быть, если были заражены, например, все контейнеры ноды.
С OpenVZ всегда будет доступ к файлам гостевых OS и иначе быть не может.
Mekras
10.10.2016 10:39+1Немало из наших клиентов обновляться не торопятся.
Некоторые ваши клиенты очень хотели бы обновиться, но:
От: Михаил К.
Доброго дня.
Я хочу обновить предустановленную ОС Ubuntu 14.04 до 16.04. К сожалению, стандартная процедура обновления через «do-release-upgrade» прерывается с сообщением о том, что нет записи в "/boot". Действительно, права доступа на папку 0000, и поменять их не удаётся. Как можно обновить ОС? Есть ли у вас где-то описание?
От: Алексей А.
Здравствуйте, обновление системы не рекомендуется на серверах OpenVZ. Это может привести к недоступности сервера и необходимости переустановки системы
От: Михаил К.
Возможные риски мне ясны. Как обновить ОС?
От: Алексей А.
Не подскажу вам по этому вопросу
symbix
Когда для того, чтобы обновить версию FreeBSD с сохранением IP-адреса, надо платить деньги, неудивительно, что люди годами не обновляются. Ну или как я — раз уж все равно менять IP, выбирают более вменяемого поставщика услуг.
Greendq
Безотносительно данного провайдера — а в чём смысл привязки к IP? Есть ведь DNS и там можно менять TTL для строк записи зоны.
symbix
> Есть ведь DNS
Именно. И как раз на этой виртуалке был установлен DNS-сервер.
С конфигами собственного bind намного удобнее работать, чем со всякими веб-интерфейсами для управления dns-записями, особенно когда доменов много.
FSA
А что за тариф такой, что IP меняется? Только что сделал freebsd-update fetch install. Накатилось несколько патчей. Делал такое не раз. Я думаю, если уж вы bind руками настраиваете, то и систему обновить сможете.
symbix
Там 7-ка была, она уже не поддерживается давно. И это не kvm/xen, а их контейнерная виртуализация на основе freebsd-ядра.
Предлагаете world от 10-ки собрать и запустить на ядре от 7ки?
foxmuldercp
А есть PowerDNS + Postgresql и вебморда, ну или пару скриптов на баше. и никаких проблем
bitrixworkshop
Что мешает обновиться самому? Или FreeBSD какая-то особенная?
symbix
Там система виртуализации на основе freebsd с патченным ядром.
YaakovTooth
Jail без всяких патчей с 4.0, это версия ещё прошлого тысячелетия, ок.
equand
Jail это как OpenVZ, обновиться изнутри не выйдет.
YourChief
В OpenVZ никаких проблем с этим нет. Взял и обновил всё.
sumanai
Ядро не обновишь.
YourChief
Его обновляет хостер, если от этого зависит безопасность. Ну и попутно вместе с этим в опенвзшное ядро бэкпортят всякие полезные штуки, вроде поддержки TRIM для MD-устройств. А софт в контейнере можно обновлять как угодно.
sumanai
Ага. Или не обновляет. Во время поисков мне встречались версии 2.6, и даже не всегда последние в этой ветке.
YourChief
Так сейчас стабильное ядро для OpenVZ это 2.6.32. Другое дело, что в него много бэкпортировано из третьего и четвёртого, так что это не ядро многолетней давности.