Comments 89
Когда для того, чтобы обновить версию FreeBSD с сохранением IP-адреса, надо платить деньги, неудивительно, что люди годами не обновляются. Ну или как я — раз уж все равно менять IP, выбирают более вменяемого поставщика услуг.
Безотносительно данного провайдера — а в чём смысл привязки к IP? Есть ведь DNS и там можно менять TTL для строк записи зоны.
> Есть ведь DNS
Именно. И как раз на этой виртуалке был установлен DNS-сервер.
С конфигами собственного bind намного удобнее работать, чем со всякими веб-интерфейсами для управления dns-записями, особенно когда доменов много.
Именно. И как раз на этой виртуалке был установлен DNS-сервер.
С конфигами собственного bind намного удобнее работать, чем со всякими веб-интерфейсами для управления dns-записями, особенно когда доменов много.
А что за тариф такой, что IP меняется? Только что сделал freebsd-update fetch install. Накатилось несколько патчей. Делал такое не раз. Я думаю, если уж вы bind руками настраиваете, то и систему обновить сможете.
А есть PowerDNS + Postgresql и вебморда, ну или пару скриптов на баше. и никаких проблем
Что мешает обновиться самому? Или FreeBSD какая-то особенная?
Там система виртуализации на основе freebsd с патченным ядром.
Jail это как OpenVZ, обновиться изнутри не выйдет.
В OpenVZ никаких проблем с этим нет. Взял и обновил всё.
Я для выявления подобного использую самописный скрипт запускаемый через nagios, который проверяет контрольные файлов и в случае выявления различий, новых или удалённых файлов информирует причастных. Дополнительно он делает diff изменённых файлов, что позволяет знать, что и когда менялось
Недавно изучал подобные возможности «из коробки».
По факту есть возможность у saltstack указываешь md5 и путь до файла. И начинается контроль изменения при запуске (хотя он может и просто переписывать).
И у monit есть возможность следить чтобы md5 не менялось.
Так же хорошо использовать etckeeper который по умолчанию отслеживает изменения в /etc но его можно и натравить на другие папки.
Все остальные пути упираются в сриптописательство с inotify, git, md5 кому что более нравится.
Проблема в том что этим должен заняться админ сервера, которому понятно кто и что меняет. С хостера взятки гладки.
По факту есть возможность у saltstack указываешь md5 и путь до файла. И начинается контроль изменения при запуске (хотя он может и просто переписывать).
И у monit есть возможность следить чтобы md5 не менялось.
Так же хорошо использовать etckeeper который по умолчанию отслеживает изменения в /etc но его можно и натравить на другие папки.
Все остальные пути упираются в сриптописательство с inotify, git, md5 кому что более нравится.
Проблема в том что этим должен заняться админ сервера, которому понятно кто и что меняет. С хостера взятки гладки.
Но всё же ещё раз всем напомним: почаще обновляйте ПО на серверах. Они этого заслуживают.
FirstVDS, спасибо за прояснение с этой ситуацией. Арендую у Вас VPS на debian.
Хоть и использую строгие правила конфигурирования iptables и автоматику ansible для конфигурирования, но опасения остаются.
Хоть и использую строгие правила конфигурирования iptables и автоматику ansible для конфигурирования, но опасения остаются.
Живой клиент российского хостера! Смотрите, люди!
Скажите мне, а какой смысл арендовать виртуалку у российского хостера, при том, что железный выделенный сервер с параметрами лучше, чем виртуалка у этого хостера стоит дешевле? Например я арендую у OVH сервер с 4 гигами рама и 500 гигами харда за 5 евро в месяц, посмотрите сколько стоит 4 гига рама у вашего горе-хостера. Я уж молчу про то, что работая с российским хостером вы должны забыть о законе и своих правах на защиту, российские хостеры работают по понятиям, а не по законам.
Скажите мне, а какой смысл арендовать виртуалку у российского хостера, при том, что железный выделенный сервер с параметрами лучше, чем виртуалка у этого хостера стоит дешевле? Например я арендую у OVH сервер с 4 гигами рама и 500 гигами харда за 5 евро в месяц, посмотрите сколько стоит 4 гига рама у вашего горе-хостера. Я уж молчу про то, что работая с российским хостером вы должны забыть о законе и своих правах на защиту, российские хостеры работают по понятиям, а не по законам.
Многим требуется русскоговорящая поддержка. Есть еще закон о персональных данных. Кто-то просто любит свою страну :)
А киньте, плиз, ссылку на ваш тариф. А то я что-то не нашёл тарифа с большими дисками.
Непосредственно моего сейчас на сайте нет
Смотрите https://www.kimsufi.com/en/servers.xml
Например KS-2A с 1 Tb харда вам может вполне подойти, если нужно место
Смотрите https://www.kimsufi.com/en/servers.xml
Например KS-2A с 1 Tb харда вам может вполне подойти, если нужно место
Спасибо.
kimsufi это реселлер OVH что ли?
kimsufi это реселлер OVH что ли?
Это один из их брендов.
Они работают под тремя брендами собственно OVH(самый дорогой), SoYouStart(средняя ниша) и Kimsufi(бюджетные сервера).
Это не реселлер, это они же и саппорт с вами переписывается с адресов ovh.com :)
Они работают под тремя брендами собственно OVH(самый дорогой), SoYouStart(средняя ниша) и Kimsufi(бюджетные сервера).
Это не реселлер, это они же и саппорт с вами переписывается с адресов ovh.com :)
А где, собственно, про взлом то?
А что вас смущает? Это же виртуальный сервер, поэтому хостер может получить доступ к файловым системам своих клиентов независимо от используемой системы виртуализации. Тут уже идёт вопрос доверия к хостеру (как правило, нормальные хостеры не пользуются этой возможностью без предварительного уведомления клиента). Параноикам стоит использовать шифрование, или же вообще отказаться от аренды виртуальных серверов.
Да какая собственно разница — виртуальный, физический или вообще shared… Это по-моему вообще не нормально и дело тут совершенно не в паранойе.
Немного не ту ветку попал предыдущий мой комментарий. Я согласен с вами, что проводить какие-либо действия со стороны хостера с файлами клиента без разрешения клиента это не нормально. С другой стороны от таких действий никто не застрахован в виду технических особенностей реализации систем виртуализации.
Знаете, на мой взгляд говорить
ну как то не правильно. я далеко не со всем работал, но что в hyper-v, что в vmware просто так из файлов виртуалок данные с виртуального харда не посмотреть, это всё-таки не shared хостинг.
с тем же успехом можно провести аналогию — оружие вполне можно приобрести, но убивать кого угодно на лево и на право вам никто не позволит, хотя технологии — позволяют это осуществить.
в виду технических особенностей реализации систем виртуализации
ну как то не правильно. я далеко не со всем работал, но что в hyper-v, что в vmware просто так из файлов виртуалок данные с виртуального харда не посмотреть, это всё-таки не shared хостинг.
с тем же успехом можно провести аналогию — оружие вполне можно приобрести, но убивать кого угодно на лево и на право вам никто не позволит, хотя технологии — позволяют это осуществить.
И, кстати, на сколько это правильно, что хостер имеет доступ к данным пользователя на VDS?
И кстати насколько это правильно что повар в ресторане трогает продукты которые вы будете есть?
Особенность технологии. Как и в ресторане.
Если вам требуется единоличный доступ к данным то надо ставить сервер под стол в офисе или в закрытую стойку в цоде (ключи должны быть у вас). Хостер точно так же может получить доступ к данным с выделенного сервера.
Хотя есть один дешевый способ с некоторыми минусами. Шифрование раздела с данными. В этом случае после каждого ребута необходимо будет производить действия для рашифровки и мириться с некоторым оверхедом по скорости.
Хостер по факту сам не совсем хочет доступ к данным пользователя. Тогда можно будет разводить руки на запросы из МВД и в случае проблем внутри VDS всегда будет понятно что сотрудники хостера не при чем.
Если не секрет, а чего вы боитесь от хостера?
Особенность технологии. Как и в ресторане.
Если вам требуется единоличный доступ к данным то надо ставить сервер под стол в офисе или в закрытую стойку в цоде (ключи должны быть у вас). Хостер точно так же может получить доступ к данным с выделенного сервера.
Хотя есть один дешевый способ с некоторыми минусами. Шифрование раздела с данными. В этом случае после каждого ребута необходимо будет производить действия для рашифровки и мириться с некоторым оверхедом по скорости.
Хостер по факту сам не совсем хочет доступ к данным пользователя. Тогда можно будет разводить руки на запросы из МВД и в случае проблем внутри VDS всегда будет понятно что сотрудники хостера не при чем.
Если не секрет, а чего вы боитесь от хостера?
Вот не соглашусь я с вами про «Особенность технологии».
Я сам работаю в облачном провайдере, и что то у нас по VPS клиентов никто не лазит, только в случае если мы их и администрируем.
Запросы от мвд это другое, и то на сколько я понимаю — для этого нужно какое то решение суда, а не просто запрос — «а покажите».
И пример с поваром — не совсем корректен, а вы будете явно против если охранник на стоянке будем спать в вашей машине, просто по тому что она там стоит
Я сам работаю в облачном провайдере, и что то у нас по VPS клиентов никто не лазит, только в случае если мы их и администрируем.
Запросы от мвд это другое, и то на сколько я понимаю — для этого нужно какое то решение суда, а не просто запрос — «а покажите».
И пример с поваром — не совсем корректен, а вы будете явно против если охранник на стоянке будем спать в вашей машине, просто по тому что она там стоит
И у нас тоже никто не лазит по VPS клиентов. :)
Ага, мы выше об этом уже прочитали и с artemirk'ом пообщались, спасибо
А статье написано, что вы лазите по виртуалкам клиентов и изменяете файлы по своему усмотрению без согласия клиентов. Статье верить или комменту? Я верю статье.
И это верное решение, ведь в статье описаны вполне конкретные вещи, направленные на защиту хостинга и его клиентов.
Давайте я попробую вам объяснить на примерах понятных людям далеким от IT.
Представьте себе, что вы живете в квартире в доходном доме и владеющая им организация имеет ключи от вашей квартиры, такая ситуация нормальна в странах в которых существует практика доходных домов. Эти ключи никогда не используются по собственному усмотрению сотрудников фирмы, они для экстренных случаев и никто без вашего ведома или без сопровождения полиции(если вдруг из вашей квартиры потянуло мертвечиной) к вам не вломится. И вдруг сантехник Джон берет ключ, идет в вашу квартиру и меняет вам кран. Сам. Без извещения вас. А попутно подкидывает вам пару кг героина, ну или не подкидывает, кто его знает. Какова будет ваша реакция на такие действия Джона?
Я, к примеру, храню на сервере арендуемом домашний фотоархив и я категорически против того, что бы сантехник Джон из фирмы у которой я арендую сервер вламывался ко мне и делал все, что ему вздумается.
Если бы я был клиентом FirstVDS и увидел сегодняшнюю новость, то я бы подал заявление в СК РФ по факту незаконного доступа к охраняемой законом информации, ибо у меня на сервере еще и почта, а право на тайну переписки(любой) охраняется напрямую Конституцией РФ.
Вы защищаете позицию взломщиков.
Представьте себе, что вы живете в квартире в доходном доме и владеющая им организация имеет ключи от вашей квартиры, такая ситуация нормальна в странах в которых существует практика доходных домов. Эти ключи никогда не используются по собственному усмотрению сотрудников фирмы, они для экстренных случаев и никто без вашего ведома или без сопровождения полиции(если вдруг из вашей квартиры потянуло мертвечиной) к вам не вломится. И вдруг сантехник Джон берет ключ, идет в вашу квартиру и меняет вам кран. Сам. Без извещения вас. А попутно подкидывает вам пару кг героина, ну или не подкидывает, кто его знает. Какова будет ваша реакция на такие действия Джона?
Я, к примеру, храню на сервере арендуемом домашний фотоархив и я категорически против того, что бы сантехник Джон из фирмы у которой я арендую сервер вламывался ко мне и делал все, что ему вздумается.
Если бы я был клиентом FirstVDS и увидел сегодняшнюю новость, то я бы подал заявление в СК РФ по факту незаконного доступа к охраняемой законом информации, ибо у меня на сервере еще и почта, а право на тайну переписки(любой) охраняется напрямую Конституцией РФ.
Вы защищаете позицию взломщиков.
Я не очень понимаю, за что именно сейчас поливают Фест, и о каком «доступе к личным данным пользователей» идет речь в комментариях. Согласно тексту статьи были произведены следующие действия:
Насколько я понимаю, было произведено сканирование диапазонов адресов серверов хостера из внешней сети, например:
Это можно сравнить с услышанным шумом из квартиры. После обнаружения потенциальной проблемы единственное, что было сделано — это автоматически были посчитаны хеши обнаруженных файлов и даты модификации (предлагаю сравнить с фотографиями через окно). Сами хеши не были нигде опубликованы (ведь на самом деле, мало ли что в этих файлах лежит), их содержимое не проверялось. Модификации пользовательских данных не производилось.
В чем же заключается проблема, кроме формального «вы не имеете права»?
Ситуация подозрительно напоминает общепринятую практику — массовый сброс паролей пользователей на каком-нибудь сервисе после слива другой базы с почтами и паролями, если пользователь был там зарегистрирован и пароль от сервиса совпадает с паролем от почты. Этого тоже не стоит делать?
P.S. Являюсь клиентом в т.ч. этого хостера с 2009 года.
<...>Естественно, мы не смогли пройти мимо такого известия, и провели своё расследование.
- Проанализировали серверы со старыми OS: FreeBSD 6, FreeBSD 8, CentOS 5 и так далее.
- Подключились к тем серверам, к которым можно было подключиться (некоторые клиенты закрывают доступ к своим серверам по IP).
- Нашли на этих серверах файл зловреда cli.php.
- Сравнили дату создания и дату модификации этого файла (в 99% случаях они совпали). Приняли это значение за дату взлома.
- Для каждого файла посчитали контрольную сумму MD5. Сгруппировали по контрольным суммам.
Насколько я понимаю, было произведено сканирование диапазонов адресов серверов хостера из внешней сети, например:
http://ip_addr:80/cli.php
https://ip_addr:443/cli.php
Это можно сравнить с услышанным шумом из квартиры. После обнаружения потенциальной проблемы единственное, что было сделано — это автоматически были посчитаны хеши обнаруженных файлов и даты модификации (предлагаю сравнить с фотографиями через окно). Сами хеши не были нигде опубликованы (ведь на самом деле, мало ли что в этих файлах лежит), их содержимое не проверялось. Модификации пользовательских данных не производилось.
В чем же заключается проблема, кроме формального «вы не имеете права»?
Ситуация подозрительно напоминает общепринятую практику — массовый сброс паролей пользователей на каком-нибудь сервисе после слива другой базы с почтами и паролями, если пользователь был там зарегистрирован и пароль от сервиса совпадает с паролем от почты. Этого тоже не стоит делать?
P.S. Являюсь клиентом в т.ч. этого хостера с 2009 года.
Они зашли на чужие сервера и внесли изменения по своему усмотрению. Не важно, что они меняли, важен сам факт. Они незаконно вломились и изменяли файлы. О каком доверии к хостеру заходящему на твою виртуалку и творящему там то, что ему придет в голову может идти речь?
VPS-провайдер не имеет право заходить на впски клиентов и что-то менять. Сам факт захода говорит о том, что они плевали на уважение к клиентам.
VPS-провайдер не имеет право заходить на впски клиентов и что-то менять. Сам факт захода говорит о том, что они плевали на уважение к клиентам.
Возможно, что я плохо прочитал статью.
Подскажите пожалуйста, где написано, что изменения производились и какие?
Подскажите пожалуйста, где написано, что изменения производились и какие?
>После этой истории мы проявили инициативу и обновили всем пользователям ISPmanager 4.x до последней версии в этой ветке. В ней уже нет вышеупомянутой уязвимости.
Видите или оплата от этих взломщиков глаза закрыла? Они внесли изменения в файлы на виртуалке по своему усмотрению без согласия владельцев. То есть мало того, что они вломились туда куда нельзя и получили доступ к частным данным, но они меняли информацию. Сегодня они зашли «обновить» что-то и покопаться в ваших файлах, завтра они сольют вашу почту и подкинут вам ЦП. Они — преступники.
Видите или оплата от этих взломщиков глаза закрыла? Они внесли изменения в файлы на виртуалке по своему усмотрению без согласия владельцев. То есть мало того, что они вломились туда куда нельзя и получили доступ к частным данным, но они меняли информацию. Сегодня они зашли «обновить» что-то и покопаться в ваших файлах, завтра они сольют вашу почту и подкинут вам ЦП. Они — преступники.
А, т.е. речь идет об обновлении панели управления до версии с закрытыми уязвимостями. Да, пропустил.
> Видите или оплата от этих взломщиков глаза закрыла?
А вам не заплатили и поэтому конструктивного диалога не получается? Интересная логика =)
Итак, вопрос на самом деле интересный. Можете прокомментировать, мой пример про сброс паролей, что вы об этом думаете?
P.S. Когда-то давно ISPManager шел из коробки вместе с хостингом, что про это было написано в TOS я не помню, но сейчас это стало дополнительной платной услугой, т.е. можно купить сервер без нее, предполагаю, что раз это услуга (как уборка квартиры), сам по себе ISPManager не является «пользовательскими данными», это не просто «файлы на виртуалке», то она предоставляется по отдельным правилам (я с ними не знаком, т.к. не пользуюсь этим продуктом сейчас).
Если продукт дырявый, то возникает закономерный вопрос — должны ли поставщики услуги предоставлять качественную услугу? Что они должны для этого делать?
> Видите или оплата от этих взломщиков глаза закрыла?
А вам не заплатили и поэтому конструктивного диалога не получается? Интересная логика =)
Итак, вопрос на самом деле интересный. Можете прокомментировать, мой пример про сброс паролей, что вы об этом думаете?
P.S. Когда-то давно ISPManager шел из коробки вместе с хостингом, что про это было написано в TOS я не помню, но сейчас это стало дополнительной платной услугой, т.е. можно купить сервер без нее, предполагаю, что раз это услуга (как уборка квартиры), сам по себе ISPManager не является «пользовательскими данными», это не просто «файлы на виртуалке», то она предоставляется по отдельным правилам (я с ними не знаком, т.к. не пользуюсь этим продуктом сейчас).
Если продукт дырявый, то возникает закономерный вопрос — должны ли поставщики услуги предоставлять качественную услугу? Что они должны для этого делать?
Речь идет об изменении файлов на арендованной виртуалке без согласия клиента. Не важно какие именно файлы были изменены, важно, что они вламываются на виртуалку и меняют файлы по своему усмотрению без согласия.
> Если продукт дырявый, то возникает закономерный вопрос — должны ли поставщики услуги предоставлять качественную услугу?
Дырявый-шмырявый, не важно. Важно, что к файлам на виртуалке они прикасаться не должны. Софт на виртуалке — проблема клиент и точка.
Я еще раз скажу, что изменение и удаление сегодня файлов типа связанных с «вирусом» означает, что завтра они удалят вашу почту и подложат вам на сайт ЦП. Вы понимаете, что они вломились в вашу квартиру и сделали там то, что посчитали нужным не спросив у вас?
> Если продукт дырявый, то возникает закономерный вопрос — должны ли поставщики услуги предоставлять качественную услугу?
Дырявый-шмырявый, не важно. Важно, что к файлам на виртуалке они прикасаться не должны. Софт на виртуалке — проблема клиент и точка.
Я еще раз скажу, что изменение и удаление сегодня файлов типа связанных с «вирусом» означает, что завтра они удалят вашу почту и подложат вам на сайт ЦП. Вы понимаете, что они вломились в вашу квартиру и сделали там то, что посчитали нужным не спросив у вас?
> Речь идет об изменении файлов на арендованной виртуалке без согласия клиента. Не важно какие именно файлы были изменены, важно, что они вламываются на виртуалку и меняют файлы по своему усмотрению без согласия.
Возможно, что клиент дает свое согласие на «установку и обновление» при подключении услуги. Очевидно также, что они не могли ничего обновить там, где ISPManager не используется (клиент не подписан на услугу).
И все-таки попробую последний раз спросить у вас мнение по поводу аналогии с массовым сбросом паролей, не касаясь хостинга. Правильно ли это делать, по вашему?
Возможно, что клиент дает свое согласие на «установку и обновление» при подключении услуги. Очевидно также, что они не могли ничего обновить там, где ISPManager не используется (клиент не подписан на услугу).
И все-таки попробую последний раз спросить у вас мнение по поводу аналогии с массовым сбросом паролей, не касаясь хостинга. Правильно ли это делать, по вашему?
Вы не видите разницы между автоматизированным сбросом паролей на сервисе который принадлежит тебе и вторжением без согласия клиентов на их сервера?
Вторжением вы называете внеплановое обновление ПО, которое установлено на сервер (арендованый, не собственный) клиента, в рамках оказания этой дополнительной услуги?
Я так называю несанкционированное клиентом изменение любых файлов на его виртуалке. Еще раз НЕСАНКЦИОНИРОВАННОЕ КЛИЕНТОМ. Если бы эти прекрасные люди разослали письмо, что «Раз уж вы настолько глупы, что арендуете виртуалки у российского хостера, то мы просим у вас разрешения зайти на ваши сервера и изменить любые файлы по своему усмотрению, отсутствие ответа в течении 72 часов будем считать согласием», то я бы не был столь возмущен их поведением.
С санкции клиента они могут подкладывать ему ЦП, читать его почту и так далее. Но только с санкции клиента.
С санкции клиента они могут подкладывать ему ЦП, читать его почту и так далее. Но только с санкции клиента.
UFO just landed and posted this here
Ни на сколько. Вламываться на арендованную виртуалку и делать там что вздумается(как это описано в статье) совершенно неприлично. Это очень хорошо показывает почему с российскими хостерами нельзя иметь дело.
Это был риторический вопрос, я с вами полностью солидарен
По большому счету можно писать новость «Российский VPS-провайдер FirstVDS в своем блоге на сайте Хабрахабр официально признал, что пользуется своим доступом к данным пользователей и вносит изменения в данные расположенные на виртуальных серверах клиентов по своему усмотрению». Потому что если они считают себя в праве что-то менять в софте, значит они считают себя в праве менять все что угодно и в пользовательских файлах, разницы нет. Я уж молчу про то, что на виртуалках может крутиться софт который разработан пользователем и к которому не должен иметь доступ посторонний.
Их статья — хорошее дополнение к причинам почему нельзя использовать российских хостеров и я буду ее показывать клиентам, в качестве объяснения.
Их статья — хорошее дополнение к причинам почему нельзя использовать российских хостеров и я буду ее показывать клиентам, в качестве объяснения.
Печенек этому господину!
Спасибо, у меня уже есть :)
Стратегический запас печенек никогда не бывает лишним, вдруг зомби апокалипсис?!
Если зомби-апокалипсис, то тут уже не печеньки, тут уже монтировка нужна. Вот монтировки нет, можно выслать за хороший комментарий.
P.S. Приятно в вашем лице видеть адекватного сотрудника VPS-провайдера, который офигел и возмущен таким наглым поведением FirstVDS.
P.S. Приятно в вашем лице видеть адекватного сотрудника VPS-провайдера, который офигел и возмущен таким наглым поведением FirstVDS.
Нужно хабру предложить выдавать урановые ломы за лучший каммент :) Есть же поощрение авторов постов, пусть будет и для авторов камментов :)
Спасибо :)
Спасибо :)
Работаю в хостингах последние надцать лет, от саппорта до хостмастера.
Если кто-то думает, что я лажу по клиентскому контенту, почте, сайтам и фотогалерейкам в поисках клубнички, потому что мне на работе нечем заняться, то этот кто-то ошибается более чем на 146%.
А в нормальных панелях управления (да, я такое встречал, очень годно сделанный внутренний проект) саппорт, например без смс/емейл подтверждения на выполнение конкретных действий вообще не имеет доступа к клиентскому контенту. только общая информация вроде квот/количества ящиков и их размер
Нет, на сам сайт броузером я зайду с удовольствием, посмотрю, что клиент предлагает, я так
находил проекты, которые помогали мне и моим друзьям решать разные проблемы/задачи, при этом клиент мог и не знать, как я его сайт нашел.
Но в код контента я лезу исключительно на посмотреть в случае спама или подозрения на клиент ботнета, что в старых проломанных жумлах или вордпрессах бывает с регулярностью несколько раз месяц на сервер, чтобы обьяснить клиенту, что вот у вас вот там и там странные скрипты, которые создают проблемы вашему сайту, его рейтингам и нашему серверу, посмотрите их, пожалуйста сами.
Как-то так.
Вам понравится, если у ЖЭКа будут ключи от вашей квартиры и в момент вашего отсутствия придёт сантехник починить вам кран? Казалось бы — похвальное дело, но не будет ли потом не очень приятно сидеть на своём любимом диване и думать о том, что он там мог и голой попой своей посидеть, или принять душ в вашей ванной, или воспользоваться вашей зубной щёткой?
То что вы делаете — очень хорошо с одной точки зрения, а с другой — очень не хорошо. А вдруг это интернет-магазин садо-мазо атрибутики, а там в cli.txt хранится список покупателей с фамилиями… а там сплошные депутаты… м?
Опять-таки — вы же не просто так проверяете всех клиентов на наличие гадостей, к этому всегда есть какие то предпосылки — почему подобные работы заранее не согласовать с клиентом, а не ставить его в известность по факту проверки?
Но вообще тезисные я понял — отсутствие нормальных средств ограничения — вот главная проблема.
То что вы делаете — очень хорошо с одной точки зрения, а с другой — очень не хорошо. А вдруг это интернет-магазин садо-мазо атрибутики, а там в cli.txt хранится список покупателей с фамилиями… а там сплошные депутаты… м?
Опять-таки — вы же не просто так проверяете всех клиентов на наличие гадостей, к этому всегда есть какие то предпосылки — почему подобные работы заранее не согласовать с клиентом, а не ставить его в известность по факту проверки?
Но вообще тезисные я понял — отсутствие нормальных средств ограничения — вот главная проблема.
Я с вами абсолютно согласен. Но по факту поменять надо было кусок трубы под ванной, из которого бежала вода и который не видно никому. Да это огорчительно что сантехник ко мне зашел и поменял трубу, уведомив меня по факту. Но я благодарен ему за то что все мое имущество осталось сухое и я не должен делать ремонт соседям.
Далее наш разговор упрется в разные токи зрения и как мы будем называть трубу/кран. Я принял решение не продолжать дельнейший спор. Но спасибо за то что озвучили свое мнение и ответили на мой вопрос.
Я уверен что вас есть другие решения мимо хостинг компаний.
Далее наш разговор упрется в разные токи зрения и как мы будем называть трубу/кран. Я принял решение не продолжать дельнейший спор. Но спасибо за то что озвучили свое мнение и ответили на мой вопрос.
Я уверен что вас есть другие решения мимо хостинг компаний.
Я могу привести аналогию с тем, что стояковая труба идет через все квартиры в старых хрущовках, и хотите вы или нет, рано или поздно я к вам припрусь с бумажками, краном и туевой хучей народа этот стояк менять.
Но время работ я буду очень тщательно согласовывать.
И да, в меом случае — смотреть в контент != создавать/удалять/обновлять/изменять.
И да, я банально не знаю php на уровне "исправить" проблему, но для диагностики и нахождения странного кода с вирусом моих знаний вполне хватает.
На большом хостинге реально несколько сотен если не тысяч сайтов на одном сервере, а команда сапорта небольшая обычно, и у народа просто нет времени и желания в этом всем ковыряться
Тут, знаете ли, очень щепитильная ситуация образовалась: Человек написал статью «У FVDS все плохо их взломали». Конечно в итоге стало понятно, что сами-то FVDS вроде бы и не при чем, но люди, видящие такую статью будут думать, что во всем виноваты FVDS и у них дырявые VDS, компания от этого терпит репутационные и вполне себе материальные издержки.
Потому после долгого обсуждения в узком кругу видимо было принято решение, что для репутации компании лучше все же вломиться в квартиры жильцов и замазать дыры в стенах без их (жильцов) на то просьбы. То есть зайти на ВДС и обновить панельку.
Я некоторое время назад сам работал в Фесте и поверьте, сотрудник сделает все, что бы ему не пришлось залезать на Вашу ВДС и делать там что-либо (только если Вы его об этом прямо попросите).
Потому после долгого обсуждения в узком кругу видимо было принято решение, что для репутации компании лучше все же вломиться в квартиры жильцов и замазать дыры в стенах без их (жильцов) на то просьбы. То есть зайти на ВДС и обновить панельку.
Я некоторое время назад сам работал в Фесте и поверьте, сотрудник сделает все, что бы ему не пришлось залезать на Вашу ВДС и делать там что-либо (только если Вы его об этом прямо попросите).
Я об этом пару коментов назад и написал.
Когда вордпресс массово ломали через ping-алку, мне тоже пришлось пойти на крайние меры навесив .htacesss. В результате свалилось немного писем со спасибами и парой литров пива )
Клиенты в большом проценте случаев сайтов шаредхостинга — не знают и не думают об обновлениях своих сайтов, т.к не подкованы технически :(
> что для репутации компании лучше все же вломиться в квартиры жильцов и замазать дыры в стенах без их (жильцов) на то просьбы. То есть зайти на ВДС и обновить панельку.
В случае с квартирой это будет называтсья «Незаконное проникновение в жилище» и сантехник сядет в тюрьму, отдавший ему приказ сядет в тюрьму(за организацию преступления), а контора получить многомиллионные иски. Тут должно быть так же. Это проникновение в чужое жилище без ведома хозяина.
В случае с квартирой это будет называтсья «Незаконное проникновение в жилище» и сантехник сядет в тюрьму, отдавший ему приказ сядет в тюрьму(за организацию преступления), а контора получить многомиллионные иски. Тут должно быть так же. Это проникновение в чужое жилище без ведома хозяина.
Ну раз уж мы с Вами о квартирах, то если Вы уехали в отпуск (т.е. стали недоступны для всех на некоторый срок), а у Вас прорвало трубу (сломался кран\загорелась проводка\взорвалась газовая плита) и (нижние) соседи от этого не в восторге, то все это решается гораздо проще и Ваше согласие в итоге никого интересовать не будет, плюс Вам еще и счет за это выставят наверняка (+ соседи будут с Вас требовать денег за нанесенный ущерб).
Тут ситуация похожая. Не удивлюсь, если даже в лицензионном соглашении у Феста написано, что если Вы на своей VDS решили разводить вирусы и делать прочие запрещенные в РФ вещи, то компания имеет право что-нибудь с этим поделать.
Наверняка юридически было бы правильнее все эти VDS остановить и клиентам написать: «У Вас вирус, потому мы погасили ВДС, разбирайтесь». Но клиенты очень не любят такое и потом на каждом углу кричат, что их обманули, обокрали и вообще; в итоге кто-нибудь написал бы статью «FVDS без причин остановил тысячи VDS, убытки клиентов оцениваются в $10M».
Тут ситуация похожая. Не удивлюсь, если даже в лицензионном соглашении у Феста написано, что если Вы на своей VDS решили разводить вирусы и делать прочие запрещенные в РФ вещи, то компания имеет право что-нибудь с этим поделать.
Наверняка юридически было бы правильнее все эти VDS остановить и клиентам написать: «У Вас вирус, потому мы погасили ВДС, разбирайтесь». Но клиенты очень не любят такое и потом на каждом углу кричат, что их обманули, обокрали и вообще; в итоге кто-нибудь написал бы статью «FVDS без причин остановил тысячи VDS, убытки клиентов оцениваются в $10M».
Ваш пример не корректен. В случае аварии квартиру будут вскрывать в присутствии полиции и понятых, а счет за прорвавшуюся трубу направят моей домоуправляющей конторе, ибо за трубы до отсекающего крана отвечают они.
Тут никаких аварий не было, а был чистый взлом и изменение файлов. Считайте, что они зашли и вместо вашего телевизора оставили вам советский Фотон-714.
Я не могу понять людей защищающих хостера вломившегося на чужие сервера и вносившего там правки, как ему вздумается.
Тут никаких аварий не было, а был чистый взлом и изменение файлов. Считайте, что они зашли и вместо вашего телевизора оставили вам советский Фотон-714.
Я не могу понять людей защищающих хостера вломившегося на чужие сервера и вносившего там правки, как ему вздумается.
Какая полиция и понятые? Полиция только в случае преступлений работает, а не в случае аварий. Пока до них всё дойдёт, уже все соседи залиты будут. В доме, где живу, при включении квартиры, в одной порвало трубу, квартира не жилая, куплена для детей впрок, владельцы живут в другом городе. УК вскрыла дверь и устранила проблему, владельцев только по телефону уведомили, они и благодарны были, что всё так просто решилось(а то по-вашему, должны были получить подпись владельца, нотариально-оформленную) Я думаю, соседи снизу(да и весь дом тоже, так как пришлось отопление отключить по всему дому) линчевали бы владельцев за подобную задержку.
p.s. мчс тоже не парится с документами и т.д., при вскрытии. Ребёнок в квартире зовёт на помощь — вскроют дверь, а дальше трава не расти.
p.s. мчс тоже не парится с документами и т.д., при вскрытии. Ребёнок в квартире зовёт на помощь — вскроют дверь, а дальше трава не расти.
Опечатался. Читать нужно «при включении отопления», конечно же
Обычная полиция. У меня в мая была ситуация, что в квартире от которой у меня есть ключи и я — единственный обладатель ключей на 1000 км вокруг, в мае протекла труба. Труба протекла 1 мая и соседка снизу обратилась в домоуправляющую контору. Они попытались связаться с хозяевами, но сходу не смогли, обратились в полицию, но те ответили, что вскрывать не будут, так как пока формальной причины нет. Всему стояку была перекрыта вода. Вода оставалась перекрытой до 11 мая, когда смогли дозвониться до хозяйки квартиры, а та связалась со мной. Я приехал, открыл квартиру и пустил представителей ДК посмотреть в чем дело.
10 дней 5 квартир было без воды. Полиция отказывалась вскрывать, потому что оснований нет, а домоуправляющая контора не готова совершать преступление.
Так что вы дальше рассказывайте, что случилось в доме знакомого дедушки знакомой вашей знакомой, а я рассказываю, что случилось с квартирой ключи от которой у меня.
И полиция с ДК были правы, вскрывать они права не имели.
10 дней 5 квартир было без воды. Полиция отказывалась вскрывать, потому что оснований нет, а домоуправляющая контора не готова совершать преступление.
Так что вы дальше рассказывайте, что случилось в доме знакомого дедушки знакомой вашей знакомой, а я рассказываю, что случилось с квартирой ключи от которой у меня.
И полиция с ДК были правы, вскрывать они права не имели.
Ну так как речь наверняка о VDS на OpenVZ, то хостер так или иначе будет иметь доступ к файлам независимо от хостинга.
Думаю, сканировали файлы они с согласия клиента в тот момент, когда анализировали причину возникновения шеллов.
Думаю, сканировали файлы они с согласия клиента в тот момент, когда анализировали причину возникновения шеллов.
Вообще, это не совсем корректно, как мне кажется, но пользователи сами выбирают дешёвые VDS на базе OpenVZ, LXC, а они предоставляют таки возможности. Тот же QEMU или XEN не даст доступа к гостевой системе без пароля или его обхода, на сколько я знаю.
Ну опять-таки — пользователь VPS/VDS не очень то и обязан разбираться в виртуализации и во всех существующих продуктах и их возможностях. А то, что хостер пользуется такими возможностями без ведома владельца — крайне не корректно, о чём сейчас и идёт речь
А то, что хостер пользуется такими возможностями без ведома владельца — крайне не корректно
Это особенность виртуализации. AkelM имел ввиду возможность загрузки шелла непосредственно через ноду, а не через контейнер. Что, кстати, имеет место быть, если были заражены, например, все контейнеры ноды.
С OpenVZ всегда будет доступ к файлам гостевых OS и иначе быть не может.
Немало из наших клиентов обновляться не торопятся.
Некоторые ваши клиенты очень хотели бы обновиться, но:
От: Михаил К.
Доброго дня.
Я хочу обновить предустановленную ОС Ubuntu 14.04 до 16.04. К сожалению, стандартная процедура обновления через «do-release-upgrade» прерывается с сообщением о том, что нет записи в "/boot". Действительно, права доступа на папку 0000, и поменять их не удаётся. Как можно обновить ОС? Есть ли у вас где-то описание?
От: Алексей А.
Здравствуйте, обновление системы не рекомендуется на серверах OpenVZ. Это может привести к недоступности сервера и необходимости переустановки системы
От: Михаил К.
Возможные риски мне ясны. Как обновить ОС?
От: Алексей А.
Не подскажу вам по этому вопросу
Sign up to leave a comment.
О взломе серверов FirstVDS