Антивирусный рейд Агавы: спасение от вирусов - дело рук... хостеров! :)

реклама которая каким либо образом принижает конкуренттов вообще то даже противозаконна :) но, все равно все кладут на закон так что не в этом суть. А по делу, насколько я помню из бесплатных скриптов, ClamAV вполне умеет находить такого рода вставки в файлы. Также правила modsecurity и где то даже suhosin могут как минимум находить и журналировать подозрительные ссылки и редиректы. Но, как всегда, это все компромисс - с одной стороны никому не хочется чтобы гугль обозвал ваш сайт подозрительным (а это запросто). С другой стороны вдруг сайт перестает работать и сразу начинают катить бочку на хостера. А еще есть и третья сторона - вот сколько из этих почти 1000 владельцев аккаунтов засуетились получив собщение ? Мне почему то кажется что от силы 10-30%. Не потому что владельцы все такие уроды - просто у кого то мыл сменился, у кого то ящик переполнился, кто то в отпуске и т.п. и т.д. И что с ними делать прикажете ?

Имхо - отключать.

Владелец, не оставивший контактов или не предупредивший СТП - сам себе злобный буратино. А так из-за его глупости могут пострадать люди, которые этот вирус подцепят с его сайта.

Эхехе, если бы все было так просто. А теперь смотрим тонну соседних топиков где хостера хают за:

а) "Суки, отключили без предупреждения!"

б) "Суки, у них вирусы а мне сайты отключают!"

в) "Суки, какое право они имеют копаться в моих файлах?"

Ну и так далее по вкусу...

Не все так просто к сожалению. Особенно когда речь идет о массовом клиенте которому сайт делал какой то там вебстроитель мигрант и у которого зачастую и данных то для доступа к аккаунту давно нету. А таких большинство у монстров типа мастерхоста, валуя и т.п.

Естественно, процесс отключения нужно прописать в договоре. :)

Идеальной мне кажется схема "Предупреждение (12ч на реакцию) -> блокировка -> решение проблемы клиентом -> разблокировка". Только процесс разблокировки нужно сделать простым, быстрым и понятным, аля "нажал кнопку - блок снят", а не "позвоните нам в рабочее время, подождите 2 часа" или "отправьте заверенное письмо почтой".

А вот если ситуация повторилась, блокировать уже сразу и без возможности самостоятельного разблока, только через СТП. Т.к. тут уже явно что-то не в порядке.

Вообще, всю процедуру нужно сделать максимально прозрачной для обычного, не айтишника, клиента. Как это видится мне - страница с сообщением (не "account suspeneded", а внятным), ссылкой на подробный FAQ (что это, как вылечить на сайте и на локальной машине). На мыло уходит ссылка на разблокировку, она же светится в панели. Для дорогих тарифов или крупных проектов - сообщать еще и по телефону\SMS. А может и нет. Ну, это я так вижу.

Кричат.. Ну, что могу сказать. Пусть кричат. Только большинство не думает, что листинг например Google или Opera сайта как malware (с сопутствующим предупреждением на полстраницы и вылетом из индекса) принесет им на порядок большие убытки, чем короткая блокировка. Они мне вообще напоминают дятла на бетонном столбе. :)

- кстати да:

Brim.ru, раз уж мы читаем эту тему, о негласном получении информации речи нет.

- вообще-то я отвечал не Вам, а процитировал rustelekom, но возможно и в действиях Агавы есть нарушения закона.

Учитывая что сканирование файлов велось на серверной стороне (Avaks не раскрывает деталей, но я понял именно так), то возможно сканированию подверглись не только файлы клиентов выставленные для публичного доступа. Также неизвестно как именно проводилось сканирование (Avaks пишет о "базе возможных вариаций заражения сайтов"), т. е. что искали то?, велись ли логи найденного, просматривали ли сисадмины найденные файлы ("скрипты, результат работы которых и легли в основу операции").

Короче говоря есть вероятность того что в Агаве занимались тем чем их не просили заниматься и при этом копались в файлах клиента (какие именно файлы подверглись досмотру, Вы, если следили за дискуссией, могли заметить, Avaks неоднократно уклонялся назвать) которые клиент мог считать приватными или содержащими коммерческую тайну, причем доступ к этим файлам (а возможно и к их содержимому) имел неопределенный круг лиц (сисадмины Агавы) не имеющих полномочий к проведению оперативно розыскных мероприятий, к которым, как процитировано выше, относится и досмотр документов, и снятие информации техническими методами.

Brim.ru, так они ведь предупредили и это все не было негласным : на сайте пресс-релиз. они наверное еще и всем клиентам разослали тот же текст.

- зачем фантазировать? из пресс релиза ясно что он выпущен после завершения проверки, а не до ее начала. Что они и когда разослали клиентам мне точно неизвестно ;)

Brim.ru, зачем переворачиваете всё с ног на голову? Посетители сайта разве не имеют доступ к html-файлам? Кстати, в большинстве случаев для обнаружения опасных включений достаточно иметь полную карту сайта и проверять всё по http, не используя доступы сисадминов. Это раз.

Во-вторых, оперативно-розыскных мероприятий не велось и не ведётся, поэтому приведённый Вами закон тут вообще не причём.

Мы не имеем права модифицировать файлы клиентов без их согласия, так как они являются их собственностью. Именно поэтому наши специалисты не притрагивались к файлам и не лечили их, а собрали для каждого клиента список инфицированных объектов, а затем помогли решить проблему на уровне саппорта.

Замечу, что наши сотрудники не "копались в файлах клиента", а пользовались автоматизированными алгоритмами, позволяющими находить заражения без просмотра файлов людьми. Давайте теперь серверные антиспамы или антивирусы обвинять в незаконном осмотре. Смешно, право. 🚬