3 октября 2016 в 12:56

О взломе серверов FirstVDS

Не так давно появилась заметка с рассказом о большом количестве скомпрометированных серверов FirstVDS. Мы встрепенулись, провели собственное расследование по горячим следам, и хотим рассказать о его результатах.

Люди азартны, а некоторые даже слишком. Они-то и пополняют ряды клиентов онлайн-казино. В частности, казино «Вулкан». Как и во всех подобных заведениях, там очень любят новых клиентов. Потому «Вулкан» предлагает всем желающим поучаствовать в их реферальной программе: вы нам клиентов, а мы вам 5% от заработка с них. Это привлекает некоторых, не слишком чистых на руку людей.

Правда, развернуться слишком широко у них не получается, потому что с 2014 года онлайн-казино в России запрещены. От слова совсем. Причём с 2015 года их сайты расстреливают блокируют без суда и следствия. Поэтому методы привлечения клиентов используются далеко не чистоплотные. Например, можно подсаживать специально обученные вирусы на виртуальные серверы интернет-магазинов и незаметно перенаправлять их трафик на сайты онлайн-казино.

Летом этого года один из клиентов прислал нам письмо, в котором пожаловался на взлом его сервера. Мы нашли пострадавших и разослали им сообщение, в котором констатировали факт заражения, объяснили, как это произошло и что с этим делать. Попросили обновиться. «Старый конь борозды не испортит» — это не про индустрию программного обеспечения, тут старьё может всё поле перепахать.

На этом успокоились. Дело в том, что мы предлагаем серверы как есть — с имеющимся в наличии ПО и без администрирования. Например, когда-то раскупали машины с ОС FreeBSD 6, системой виртуализации FreeBSD Jail и панелью управления веб-хостингом ISPmanager 4.x. Мы считаем, что клиенты лучше нас знают, что им действительно нужно. В том числе — хотят ли они обновлять ОС и прочее ПО, которое стоит на сервере. Немало из наших клиентов обновляться не торопятся. Чем и воспользовались взломщики — через дыры старого ПО подсадили вирус, направляющий трафик совсем не туда, куда следует.

То же самое случилось и с автором заметки, ставшей поводом для этого рассказа. Обнаружив у себя вирус cli.php, снабжающий трафиком онлайн-казино «Вулкан», он поинтересовался, не одинок ли в своём несчастье. Оказалось, что нет. Так возникла новость про 3000 взломанных сайтов на 1000 серверах. В роли координатора вируса выступил домен 0x31.ru, владелец которого и получал нетрудовые доходы от реферальной программы казино.

Естественно, мы не смогли пройти мимо такого известия, и провели своё расследование.

  • Проанализировали серверы со старыми OS: FreeBSD 6, FreeBSD 8, CentOS 5 и так далее.
  • Подключились к тем серверам, к которым можно было подключиться (некоторые клиенты закрывают доступ к своим серверам по IP).
  • Нашли на этих серверах файл зловреда cli.php.
  • Сравнили дату создания и дату модификации этого файла (в 99% случаях они совпали). Приняли это значение за дату взлома.
  • Для каждого файла посчитали контрольную сумму MD5. Сгруппировали по контрольным суммам.

Любой владелец VDS может самостоятельно проверить свой сервер:

Freebsd: find /home -name .cli.php
Linux: find /var/www -name .cli.php

Всё оказалось как в том анекдоте: «ужас, конечно, но не ужас-ужас». Нам удалось выявить домены, управляющие зловредами (сюда входит и вышеупомянутый 0x31.ru). Также мы обнаружили 7 контрольных сумм файла cli.php, которые распределены следующим образом:

Контрольная сумма Количество заражённых сайтов Доля от общего количества
MD5 1 644 33,82%
MD5 2 732 38,45%
MD5 3 2 0,1%
MD5 4 1 0,05%
MD5 5 69 3,62%
MD5 6 2 0,1%
MD5 7 454 23,85%

Общее количество инфицированных сайтов — 1904.

Далее мы отсортировали все найденные версии cli.php по дате заражения:

Год Доля от общего количества
2009 0,45%
2010 2,59%
2011 4,22%
2012 14,89%
2013 13,39%
2014 5,94%
2015 6,8%
2016 51,7%

То, что на этот год приходится половина всех заражений, объясняется просто: это статистика по состоянию на «сегодня», а с 2009 года владельцы серверов успели обновить ПО и удалить зловред. К тому же новые клиенты постоянно нужны всем, в том числе и казино, так что вирус не успевает покрыться пылью — инструмент востребованный, не залёживается. Хотя даже если cli.php и находится на сервере, то ещё не факт, что тот всё ещё заражён. Был заражён — да. А если владелец VDS обновил ПО и закрыл уязвимости, то и зловред перестал работать.

После этой истории мы проявили инициативу и обновили всем пользователям ISPmanager 4.x до последней версии в этой ветке. В ней уже нет вышеупомянутой уязвимости.

Но всё же ещё раз всем напомним: почаще обновляйте ПО на серверах. Они этого заслуживают.

Автор: @FirstJohn

Комментарии (89)

  • +1
    Когда для того, чтобы обновить версию FreeBSD с сохранением IP-адреса, надо платить деньги, неудивительно, что люди годами не обновляются. Ну или как я — раз уж все равно менять IP, выбирают более вменяемого поставщика услуг.
    • 0
      Безотносительно данного провайдера — а в чём смысл привязки к IP? Есть ведь DNS и там можно менять TTL для строк записи зоны.
      • +1
        > Есть ведь DNS

        Именно. И как раз на этой виртуалке был установлен DNS-сервер.
        С конфигами собственного bind намного удобнее работать, чем со всякими веб-интерфейсами для управления dns-записями, особенно когда доменов много.
        • 0
          А что за тариф такой, что IP меняется? Только что сделал freebsd-update fetch install. Накатилось несколько патчей. Делал такое не раз. Я думаю, если уж вы bind руками настраиваете, то и систему обновить сможете.
          • 0
            Там 7-ка была, она уже не поддерживается давно. И это не kvm/xen, а их контейнерная виртуализация на основе freebsd-ядра.
            Предлагаете world от 10-ки собрать и запустить на ядре от 7ки?
        • 0

          А есть PowerDNS + Postgresql и вебморда, ну или пару скриптов на баше. и никаких проблем

    • 0
      Что мешает обновиться самому? Или FreeBSD какая-то особенная?
      • +1
        Там система виртуализации на основе freebsd с патченным ядром.
        • 0
          Jail без всяких патчей с 4.0, это версия ещё прошлого тысячелетия, ок.
      • 0

        Jail это как OpenVZ, обновиться изнутри не выйдет.

        • 0
          В OpenVZ никаких проблем с этим нет. Взял и обновил всё.
          • 0
            Ядро не обновишь.
            • 0
              Его обновляет хостер, если от этого зависит безопасность. Ну и попутно вместе с этим в опенвзшное ядро бэкпортят всякие полезные штуки, вроде поддержки TRIM для MD-устройств. А софт в контейнере можно обновлять как угодно.
              • 0
                Его обновляет хостер

                Ага. Или не обновляет. Во время поисков мне встречались версии 2.6, и даже не всегда последние в этой ветке.
                • 0
                  Так сейчас стабильное ядро для OpenVZ это 2.6.32. Другое дело, что в него много бэкпортировано из третьего и четвёртого, так что это не ядро многолетней давности.
  • 0
    Я для выявления подобного использую самописный скрипт запускаемый через nagios, который проверяет контрольные файлов и в случае выявления различий, новых или удалённых файлов информирует причастных. Дополнительно он делает diff изменённых файлов, что позволяет знать, что и когда менялось
    • 0
      Недавно изучал подобные возможности «из коробки».
      По факту есть возможность у saltstack указываешь md5 и путь до файла. И начинается контроль изменения при запуске (хотя он может и просто переписывать).
      И у monit есть возможность следить чтобы md5 не менялось.

      Так же хорошо использовать etckeeper который по умолчанию отслеживает изменения в /etc но его можно и натравить на другие папки.

      Все остальные пути упираются в сриптописательство с inotify, git, md5 кому что более нравится.

      Проблема в том что этим должен заняться админ сервера, которому понятно кто и что меняет. С хостера взятки гладки.
  • +1
    Но всё же ещё раз всем напомним: почаще обновляйте ПО на серверах. Они этого заслуживают.
    • 0
      Объясните пожалуйста, что это за обновления такие и в чем их смысл?
      • 0
        Судя по датам, смысл в том, чтобы повышать номер версии каждую неделю.
        • 0
          А зачем это делать пользователю данной системы?
          • 0
            А почему вы считаете, что это пользователь делает? Это делает производитель ПО, а конкретно ISPsystem.
    • 0
      Я думаю в вашем случае некорректно отрабатывает модуль отображения этой страницы. На официальном сайте в этих обновлениях есть подробные описания: https://www.ispsystem.com/software/ispmanager/changelog
  • 0
    FirstVDS, спасибо за прояснение с этой ситуацией. Арендую у Вас VPS на debian.
    Хоть и использую строгие правила конфигурирования iptables и автоматику ansible для конфигурирования, но опасения остаются.
    • +1
      Живой клиент российского хостера! Смотрите, люди!
      Скажите мне, а какой смысл арендовать виртуалку у российского хостера, при том, что железный выделенный сервер с параметрами лучше, чем виртуалка у этого хостера стоит дешевле? Например я арендую у OVH сервер с 4 гигами рама и 500 гигами харда за 5 евро в месяц, посмотрите сколько стоит 4 гига рама у вашего горе-хостера. Я уж молчу про то, что работая с российским хостером вы должны забыть о законе и своих правах на защиту, российские хостеры работают по понятиям, а не по законам.
      • 0
        Многим требуется русскоговорящая поддержка. Есть еще закон о персональных данных. Кто-то просто любит свою страну :)
      • 0
        А киньте, плиз, ссылку на ваш тариф. А то я что-то не нашёл тарифа с большими дисками.
        • 0
          Непосредственно моего сейчас на сайте нет
          Смотрите https://www.kimsufi.com/en/servers.xml
          Например KS-2A с 1 Tb харда вам может вполне подойти, если нужно место
          • 0
            Спасибо.
            kimsufi это реселлер OVH что ли?
            • 0
              Это один из их брендов.
              Они работают под тремя брендами собственно OVH(самый дорогой), SoYouStart(средняя ниша) и Kimsufi(бюджетные сервера).
              Это не реселлер, это они же и саппорт с вами переписывается с адресов ovh.com :)
  • +3
    А где, собственно, про взлом то?
    • –4
      А что вас смущает? Это же виртуальный сервер, поэтому хостер может получить доступ к файловым системам своих клиентов независимо от используемой системы виртуализации. Тут уже идёт вопрос доверия к хостеру (как правило, нормальные хостеры не пользуются этой возможностью без предварительного уведомления клиента). Параноикам стоит использовать шифрование, или же вообще отказаться от аренды виртуальных серверов.
      • 0
        Да какая собственно разница — виртуальный, физический или вообще shared… Это по-моему вообще не нормально и дело тут совершенно не в паранойе.
        • 0
          Немного не ту ветку попал предыдущий мой комментарий. Я согласен с вами, что проводить какие-либо действия со стороны хостера с файлами клиента без разрешения клиента это не нормально. С другой стороны от таких действий никто не застрахован в виду технических особенностей реализации систем виртуализации.
          • 0
            Знаете, на мой взгляд говорить
            в виду технических особенностей реализации систем виртуализации

            ну как то не правильно. я далеко не со всем работал, но что в hyper-v, что в vmware просто так из файлов виртуалок данные с виртуального харда не посмотреть, это всё-таки не shared хостинг.
            с тем же успехом можно провести аналогию — оружие вполне можно приобрести, но убивать кого угодно на лево и на право вам никто не позволит, хотя технологии — позволяют это осуществить.
  • +4
    И, кстати, на сколько это правильно, что хостер имеет доступ к данным пользователя на VDS?
    • +2
      И кстати насколько это правильно что повар в ресторане трогает продукты которые вы будете есть?

      Особенность технологии. Как и в ресторане.

      Если вам требуется единоличный доступ к данным то надо ставить сервер под стол в офисе или в закрытую стойку в цоде (ключи должны быть у вас). Хостер точно так же может получить доступ к данным с выделенного сервера.

      Хотя есть один дешевый способ с некоторыми минусами. Шифрование раздела с данными. В этом случае после каждого ребута необходимо будет производить действия для рашифровки и мириться с некоторым оверхедом по скорости.

      Хостер по факту сам не совсем хочет доступ к данным пользователя. Тогда можно будет разводить руки на запросы из МВД и в случае проблем внутри VDS всегда будет понятно что сотрудники хостера не при чем.

      Если не секрет, а чего вы боитесь от хостера?

      • +1
        Вот не соглашусь я с вами про «Особенность технологии».
        Я сам работаю в облачном провайдере, и что то у нас по VPS клиентов никто не лазит, только в случае если мы их и администрируем.
        Запросы от мвд это другое, и то на сколько я понимаю — для этого нужно какое то решение суда, а не просто запрос — «а покажите».
        И пример с поваром — не совсем корректен, а вы будете явно против если охранник на стоянке будем спать в вашей машине, просто по тому что она там стоит
        • 0
          И у нас тоже никто не лазит по VPS клиентов. :)
          • 0
            Ага, мы выше об этом уже прочитали и с artemirk'ом пообщались, спасибо
          • 0
            А статье написано, что вы лазите по виртуалкам клиентов и изменяете файлы по своему усмотрению без согласия клиентов. Статье верить или комменту? Я верю статье.
            • 0
              И это верное решение, ведь в статье описаны вполне конкретные вещи, направленные на защиту хостинга и его клиентов.
              • 0
                В статье прямым текстом сказано «Залезли по велению левой пятки и поправили файлы по своему желанию». Завтра вы поправите содержимое сайтов клиентов, а послезавтра украдете их домашний фотоархив.
                • 0
                  Это полностью ваши собственные мысли :) Свобода слова же. Такого сценария не произойдет.
                  • 0
                    Уже произошло. Вы поправили файлы по своему усмотрению без согласия клиентов.
      • +1
        Давайте я попробую вам объяснить на примерах понятных людям далеким от IT.
        Представьте себе, что вы живете в квартире в доходном доме и владеющая им организация имеет ключи от вашей квартиры, такая ситуация нормальна в странах в которых существует практика доходных домов. Эти ключи никогда не используются по собственному усмотрению сотрудников фирмы, они для экстренных случаев и никто без вашего ведома или без сопровождения полиции(если вдруг из вашей квартиры потянуло мертвечиной) к вам не вломится. И вдруг сантехник Джон берет ключ, идет в вашу квартиру и меняет вам кран. Сам. Без извещения вас. А попутно подкидывает вам пару кг героина, ну или не подкидывает, кто его знает. Какова будет ваша реакция на такие действия Джона?

        Я, к примеру, храню на сервере арендуемом домашний фотоархив и я категорически против того, что бы сантехник Джон из фирмы у которой я арендую сервер вламывался ко мне и делал все, что ему вздумается.

        Если бы я был клиентом FirstVDS и увидел сегодняшнюю новость, то я бы подал заявление в СК РФ по факту незаконного доступа к охраняемой законом информации, ибо у меня на сервере еще и почта, а право на тайну переписки(любой) охраняется напрямую Конституцией РФ.

        Вы защищаете позицию взломщиков.
        • 0
          Я не очень понимаю, за что именно сейчас поливают Фест, и о каком «доступе к личным данным пользователей» идет речь в комментариях. Согласно тексту статьи были произведены следующие действия:

          <...>Естественно, мы не смогли пройти мимо такого известия, и провели своё расследование.

          • Проанализировали серверы со старыми OS: FreeBSD 6, FreeBSD 8, CentOS 5 и так далее.
          • Подключились к тем серверам, к которым можно было подключиться (некоторые клиенты закрывают доступ к своим серверам по IP).
          • Нашли на этих серверах файл зловреда cli.php.
          • Сравнили дату создания и дату модификации этого файла (в 99% случаях они совпали). Приняли это значение за дату взлома.
          • Для каждого файла посчитали контрольную сумму MD5. Сгруппировали по контрольным суммам.


          Насколько я понимаю, было произведено сканирование диапазонов адресов серверов хостера из внешней сети, например:
          http://ip_addr:80/cli.php
          https://ip_addr:443/cli.php
          

          Это можно сравнить с услышанным шумом из квартиры. После обнаружения потенциальной проблемы единственное, что было сделано — это автоматически были посчитаны хеши обнаруженных файлов и даты модификации (предлагаю сравнить с фотографиями через окно). Сами хеши не были нигде опубликованы (ведь на самом деле, мало ли что в этих файлах лежит), их содержимое не проверялось. Модификации пользовательских данных не производилось.
          В чем же заключается проблема, кроме формального «вы не имеете права»?

          Ситуация подозрительно напоминает общепринятую практику — массовый сброс паролей пользователей на каком-нибудь сервисе после слива другой базы с почтами и паролями, если пользователь был там зарегистрирован и пароль от сервиса совпадает с паролем от почты. Этого тоже не стоит делать?

          P.S. Являюсь клиентом в т.ч. этого хостера с 2009 года.
          • 0
            Они зашли на чужие сервера и внесли изменения по своему усмотрению. Не важно, что они меняли, важен сам факт. Они незаконно вломились и изменяли файлы. О каком доверии к хостеру заходящему на твою виртуалку и творящему там то, что ему придет в голову может идти речь?
            VPS-провайдер не имеет право заходить на впски клиентов и что-то менять. Сам факт захода говорит о том, что они плевали на уважение к клиентам.
            • 0
              Возможно, что я плохо прочитал статью.
              Подскажите пожалуйста, где написано, что изменения производились и какие?
              • 0
                >После этой истории мы проявили инициативу и обновили всем пользователям ISPmanager 4.x до последней версии в этой ветке. В ней уже нет вышеупомянутой уязвимости.

                Видите или оплата от этих взломщиков глаза закрыла? Они внесли изменения в файлы на виртуалке по своему усмотрению без согласия владельцев. То есть мало того, что они вломились туда куда нельзя и получили доступ к частным данным, но они меняли информацию. Сегодня они зашли «обновить» что-то и покопаться в ваших файлах, завтра они сольют вашу почту и подкинут вам ЦП. Они — преступники.
                • 0
                  А, т.е. речь идет об обновлении панели управления до версии с закрытыми уязвимостями. Да, пропустил.
                  > Видите или оплата от этих взломщиков глаза закрыла?
                  А вам не заплатили и поэтому конструктивного диалога не получается? Интересная логика =)

                  Итак, вопрос на самом деле интересный. Можете прокомментировать, мой пример про сброс паролей, что вы об этом думаете?

                  P.S. Когда-то давно ISPManager шел из коробки вместе с хостингом, что про это было написано в TOS я не помню, но сейчас это стало дополнительной платной услугой, т.е. можно купить сервер без нее, предполагаю, что раз это услуга (как уборка квартиры), сам по себе ISPManager не является «пользовательскими данными», это не просто «файлы на виртуалке», то она предоставляется по отдельным правилам (я с ними не знаком, т.к. не пользуюсь этим продуктом сейчас).
                  Если продукт дырявый, то возникает закономерный вопрос — должны ли поставщики услуги предоставлять качественную услугу? Что они должны для этого делать?
                  • 0
                    Речь идет об изменении файлов на арендованной виртуалке без согласия клиента. Не важно какие именно файлы были изменены, важно, что они вламываются на виртуалку и меняют файлы по своему усмотрению без согласия.

                    > Если продукт дырявый, то возникает закономерный вопрос — должны ли поставщики услуги предоставлять качественную услугу?

                    Дырявый-шмырявый, не важно. Важно, что к файлам на виртуалке они прикасаться не должны. Софт на виртуалке — проблема клиент и точка.

                    Я еще раз скажу, что изменение и удаление сегодня файлов типа связанных с «вирусом» означает, что завтра они удалят вашу почту и подложат вам на сайт ЦП. Вы понимаете, что они вломились в вашу квартиру и сделали там то, что посчитали нужным не спросив у вас?
                    • 0
                      > Речь идет об изменении файлов на арендованной виртуалке без согласия клиента. Не важно какие именно файлы были изменены, важно, что они вламываются на виртуалку и меняют файлы по своему усмотрению без согласия.

                      Возможно, что клиент дает свое согласие на «установку и обновление» при подключении услуги. Очевидно также, что они не могли ничего обновить там, где ISPManager не используется (клиент не подписан на услугу).

                      И все-таки попробую последний раз спросить у вас мнение по поводу аналогии с массовым сбросом паролей, не касаясь хостинга. Правильно ли это делать, по вашему?
                      • 0
                        Вы не видите разницы между автоматизированным сбросом паролей на сервисе который принадлежит тебе и вторжением без согласия клиентов на их сервера?
                        • 0
                          Вторжением вы называете внеплановое обновление ПО, которое установлено на сервер (арендованый, не собственный) клиента, в рамках оказания этой дополнительной услуги?
                          • 0
                            Я так называю несанкционированное клиентом изменение любых файлов на его виртуалке. Еще раз НЕСАНКЦИОНИРОВАННОЕ КЛИЕНТОМ. Если бы эти прекрасные люди разослали письмо, что «Раз уж вы настолько глупы, что арендуете виртуалки у российского хостера, то мы просим у вас разрешения зайти на ваши сервера и изменить любые файлы по своему усмотрению, отсутствие ответа в течении 72 часов будем считать согласием», то я бы не был столь возмущен их поведением.
                            С санкции клиента они могут подкладывать ему ЦП, читать его почту и так далее. Но только с санкции клиента.
            • 0
              Вот надо просто останавливать взломанные VDS, а потом удалять за нарушения правил предоставления услуг. Если ответа нет. Ибо не чего трогать пользовательские данные и разводить зоопарк вирусов.

              Но говорят клиенты не оценят =) Врут наверное.
    • +2
      Ни на сколько. Вламываться на арендованную виртуалку и делать там что вздумается(как это описано в статье) совершенно неприлично. Это очень хорошо показывает почему с российскими хостерами нельзя иметь дело.
      • +2
        Это был риторический вопрос, я с вами полностью солидарен
        • +3
          По большому счету можно писать новость «Российский VPS-провайдер FirstVDS в своем блоге на сайте Хабрахабр официально признал, что пользуется своим доступом к данным пользователей и вносит изменения в данные расположенные на виртуальных серверах клиентов по своему усмотрению». Потому что если они считают себя в праве что-то менять в софте, значит они считают себя в праве менять все что угодно и в пользовательских файлах, разницы нет. Я уж молчу про то, что на виртуалках может крутиться софт который разработан пользователем и к которому не должен иметь доступ посторонний.
          Их статья — хорошее дополнение к причинам почему нельзя использовать российских хостеров и я буду ее показывать клиентам, в качестве объяснения.
          • +2
            Печенек этому господину!
            • 0
              Спасибо, у меня уже есть :)
              • +1
                Стратегический запас печенек никогда не бывает лишним, вдруг зомби апокалипсис?!
                • 0
                  Если зомби-апокалипсис, то тут уже не печеньки, тут уже монтировка нужна. Вот монтировки нет, можно выслать за хороший комментарий.

                  P.S. Приятно в вашем лице видеть адекватного сотрудника VPS-провайдера, который офигел и возмущен таким наглым поведением FirstVDS.
                  • 0
                    Нужно хабру предложить выдавать урановые ломы за лучший каммент :) Есть же поощрение авторов постов, пусть будет и для авторов камментов :)
                    Спасибо :)
                  • 0

                    Работаю в хостингах последние надцать лет, от саппорта до хостмастера.


                    Если кто-то думает, что я лажу по клиентскому контенту, почте, сайтам и фотогалерейкам в поисках клубнички, потому что мне на работе нечем заняться, то этот кто-то ошибается более чем на 146%.
                    А в нормальных панелях управления (да, я такое встречал, очень годно сделанный внутренний проект) саппорт, например без смс/емейл подтверждения на выполнение конкретных действий вообще не имеет доступа к клиентскому контенту. только общая информация вроде квот/количества ящиков и их размер


                    Нет, на сам сайт броузером я зайду с удовольствием, посмотрю, что клиент предлагает, я так
                    находил проекты, которые помогали мне и моим друзьям решать разные проблемы/задачи, при этом клиент мог и не знать, как я его сайт нашел.


                    Но в код контента я лезу исключительно на посмотреть в случае спама или подозрения на клиент ботнета, что в старых проломанных жумлах или вордпрессах бывает с регулярностью несколько раз месяц на сервер, чтобы обьяснить клиенту, что вот у вас вот там и там странные скрипты, которые создают проблемы вашему сайту, его рейтингам и нашему серверу, посмотрите их, пожалуйста сами.


                    Как-то так.

                    • +1
                      Вам понравится, если у ЖЭКа будут ключи от вашей квартиры и в момент вашего отсутствия придёт сантехник починить вам кран? Казалось бы — похвальное дело, но не будет ли потом не очень приятно сидеть на своём любимом диване и думать о том, что он там мог и голой попой своей посидеть, или принять душ в вашей ванной, или воспользоваться вашей зубной щёткой?

                      То что вы делаете — очень хорошо с одной точки зрения, а с другой — очень не хорошо. А вдруг это интернет-магазин садо-мазо атрибутики, а там в cli.txt хранится список покупателей с фамилиями… а там сплошные депутаты… м?

                      Опять-таки — вы же не просто так проверяете всех клиентов на наличие гадостей, к этому всегда есть какие то предпосылки — почему подобные работы заранее не согласовать с клиентом, а не ставить его в известность по факту проверки?

                      Но вообще тезисные я понял — отсутствие нормальных средств ограничения — вот главная проблема.
                      • 0
                        Я с вами абсолютно согласен. Но по факту поменять надо было кусок трубы под ванной, из которого бежала вода и который не видно никому. Да это огорчительно что сантехник ко мне зашел и поменял трубу, уведомив меня по факту. Но я благодарен ему за то что все мое имущество осталось сухое и я не должен делать ремонт соседям.

                        Далее наш разговор упрется в разные токи зрения и как мы будем называть трубу/кран. Я принял решение не продолжать дельнейший спор. Но спасибо за то что озвучили свое мнение и ответили на мой вопрос.

                        Я уверен что вас есть другие решения мимо хостинг компаний.
                        • 0

                          Я могу привести аналогию с тем, что стояковая труба идет через все квартиры в старых хрущовках, и хотите вы или нет, рано или поздно я к вам припрусь с бумажками, краном и туевой хучей народа этот стояк менять.
                          Но время работ я буду очень тщательно согласовывать.


                          И да, в меом случае — смотреть в контент != создавать/удалять/обновлять/изменять.
                          И да, я банально не знаю php на уровне "исправить" проблему, но для диагностики и нахождения странного кода с вирусом моих знаний вполне хватает.

                      • 0

                        На большом хостинге реально несколько сотен если не тысяч сайтов на одном сервере, а команда сапорта небольшая обычно, и у народа просто нет времени и желания в этом всем ковыряться

      • +1
        Тут, знаете ли, очень щепитильная ситуация образовалась: Человек написал статью «У FVDS все плохо их взломали». Конечно в итоге стало понятно, что сами-то FVDS вроде бы и не при чем, но люди, видящие такую статью будут думать, что во всем виноваты FVDS и у них дырявые VDS, компания от этого терпит репутационные и вполне себе материальные издержки.
        Потому после долгого обсуждения в узком кругу видимо было принято решение, что для репутации компании лучше все же вломиться в квартиры жильцов и замазать дыры в стенах без их (жильцов) на то просьбы. То есть зайти на ВДС и обновить панельку.

        Я некоторое время назад сам работал в Фесте и поверьте, сотрудник сделает все, что бы ему не пришлось залезать на Вашу ВДС и делать там что-либо (только если Вы его об этом прямо попросите).
        • 0

          Я об этом пару коментов назад и написал.
          Когда вордпресс массово ломали через ping-алку, мне тоже пришлось пойти на крайние меры навесив .htacesss. В результате свалилось немного писем со спасибами и парой литров пива )
          Клиенты в большом проценте случаев сайтов шаредхостинга — не знают и не думают об обновлениях своих сайтов, т.к не подкованы технически :(

          • 0
            По поводу shared хостинга — я соглашусь, ввиду того что это действительно может отразится на «соседях», но VPS/VDS это всё-таки немного другая ситуация
            • 0

              Если опенвз/клаудлинукс/lxc — то в принципе обычный шаред, если квм/гипервишные виртуалки, то там можно и шифрование внутри и уже просто так не долезть с хостового сервиса, но и мониторить можно только косвенно полосу/иопсы/память/проц

        • –1
          > что для репутации компании лучше все же вломиться в квартиры жильцов и замазать дыры в стенах без их (жильцов) на то просьбы. То есть зайти на ВДС и обновить панельку.

          В случае с квартирой это будет называтсья «Незаконное проникновение в жилище» и сантехник сядет в тюрьму, отдавший ему приказ сядет в тюрьму(за организацию преступления), а контора получить многомиллионные иски. Тут должно быть так же. Это проникновение в чужое жилище без ведома хозяина.
          • +1
            Ну раз уж мы с Вами о квартирах, то если Вы уехали в отпуск (т.е. стали недоступны для всех на некоторый срок), а у Вас прорвало трубу (сломался кран\загорелась проводка\взорвалась газовая плита) и (нижние) соседи от этого не в восторге, то все это решается гораздо проще и Ваше согласие в итоге никого интересовать не будет, плюс Вам еще и счет за это выставят наверняка (+ соседи будут с Вас требовать денег за нанесенный ущерб).

            Тут ситуация похожая. Не удивлюсь, если даже в лицензионном соглашении у Феста написано, что если Вы на своей VDS решили разводить вирусы и делать прочие запрещенные в РФ вещи, то компания имеет право что-нибудь с этим поделать.
            Наверняка юридически было бы правильнее все эти VDS остановить и клиентам написать: «У Вас вирус, потому мы погасили ВДС, разбирайтесь». Но клиенты очень не любят такое и потом на каждом углу кричат, что их обманули, обокрали и вообще; в итоге кто-нибудь написал бы статью «FVDS без причин остановил тысячи VDS, убытки клиентов оцениваются в $10M».
            • 0
              Ваш пример не корректен. В случае аварии квартиру будут вскрывать в присутствии полиции и понятых, а счет за прорвавшуюся трубу направят моей домоуправляющей конторе, ибо за трубы до отсекающего крана отвечают они.
              Тут никаких аварий не было, а был чистый взлом и изменение файлов. Считайте, что они зашли и вместо вашего телевизора оставили вам советский Фотон-714.
              Я не могу понять людей защищающих хостера вломившегося на чужие сервера и вносившего там правки, как ему вздумается.
              • 0
                Какая полиция и понятые? Полиция только в случае преступлений работает, а не в случае аварий. Пока до них всё дойдёт, уже все соседи залиты будут. В доме, где живу, при включении квартиры, в одной порвало трубу, квартира не жилая, куплена для детей впрок, владельцы живут в другом городе. УК вскрыла дверь и устранила проблему, владельцев только по телефону уведомили, они и благодарны были, что всё так просто решилось(а то по-вашему, должны были получить подпись владельца, нотариально-оформленную) Я думаю, соседи снизу(да и весь дом тоже, так как пришлось отопление отключить по всему дому) линчевали бы владельцев за подобную задержку.

                p.s. мчс тоже не парится с документами и т.д., при вскрытии. Ребёнок в квартире зовёт на помощь — вскроют дверь, а дальше трава не расти.
                • 0
                  Опечатался. Читать нужно «при включении отопления», конечно же
                • 0
                  Обычная полиция. У меня в мая была ситуация, что в квартире от которой у меня есть ключи и я — единственный обладатель ключей на 1000 км вокруг, в мае протекла труба. Труба протекла 1 мая и соседка снизу обратилась в домоуправляющую контору. Они попытались связаться с хозяевами, но сходу не смогли, обратились в полицию, но те ответили, что вскрывать не будут, так как пока формальной причины нет. Всему стояку была перекрыта вода. Вода оставалась перекрытой до 11 мая, когда смогли дозвониться до хозяйки квартиры, а та связалась со мной. Я приехал, открыл квартиру и пустил представителей ДК посмотреть в чем дело.
                  10 дней 5 квартир было без воды. Полиция отказывалась вскрывать, потому что оснований нет, а домоуправляющая контора не готова совершать преступление.
                  Так что вы дальше рассказывайте, что случилось в доме знакомого дедушки знакомой вашей знакомой, а я рассказываю, что случилось с квартирой ключи от которой у меня.
                  И полиция с ДК были правы, вскрывать они права не имели.
                  • +1
                    Простите, а вы читать умеете? Это случилось в моём доме, написано как бы.
                    • –1
                      Только вы не можете знать что случилось, ибо вы не принимали участие, а сейчас рассказываете мне сказки. А я говорю о том, что случилось с квартирой ключ от которой прямо сейчас у меня в правом кармане. Видите разницу?
                      • 0
                        «Принимал участие» — это нужно свечку держать было?
                        Могу также ответить, что вы сейчас рассказываете мне сказку. В чём разница? Ваша правда против моей.

                        Я говорю, как было, вы можете верить, можете не верить, ваше дело.
    • 0
      Ну так как речь наверняка о VDS на OpenVZ, то хостер так или иначе будет иметь доступ к файлам независимо от хостинга.
      Думаю, сканировали файлы они с согласия клиента в тот момент, когда анализировали причину возникновения шеллов.
      • 0
        Думаю, сканировали файлы они с согласия клиента в тот момент, когда анализировали причину возникновения шеллов.

        Общее количество инфицированных сайтов — 1904.

        судя по камментам автора поста — с более чем 2000-ми пользователей они ничего не согласовывали
    • 0
      Вообще, это не совсем корректно, как мне кажется, но пользователи сами выбирают дешёвые VDS на базе OpenVZ, LXC, а они предоставляют таки возможности. Тот же QEMU или XEN не даст доступа к гостевой системе без пароля или его обхода, на сколько я знаю.
      • 0
        Ну опять-таки — пользователь VPS/VDS не очень то и обязан разбираться в виртуализации и во всех существующих продуктах и их возможностях. А то, что хостер пользуется такими возможностями без ведома владельца — крайне не корректно, о чём сейчас и идёт речь
        • 0
          А то, что хостер пользуется такими возможностями без ведома владельца — крайне не корректно

          Это особенность виртуализации. AkelM имел ввиду возможность загрузки шелла непосредственно через ноду, а не через контейнер. Что, кстати, имеет место быть, если были заражены, например, все контейнеры ноды.
          С OpenVZ всегда будет доступ к файлам гостевых OS и иначе быть не может.
  • +1
    Немало из наших клиентов обновляться не торопятся.


    Некоторые ваши клиенты очень хотели бы обновиться, но:

    От: Михаил К.
    Доброго дня.

    Я хочу обновить предустановленную ОС Ubuntu 14.04 до 16.04. К сожалению, стандартная процедура обновления через «do-release-upgrade» прерывается с сообщением о том, что нет записи в "/boot". Действительно, права доступа на папку 0000, и поменять их не удаётся. Как можно обновить ОС? Есть ли у вас где-то описание?

    От: Алексей А.
    Здравствуйте, обновление системы не рекомендуется на серверах OpenVZ. Это может привести к недоступности сервера и необходимости переустановки системы

    От: Михаил К.
    Возможные риски мне ясны. Как обновить ОС?

    От: Алексей А.
    Не подскажу вам по этому вопросу

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка