Массовый взлом сайтов на кластерном хостинге ISPserver

Да не удалять нужно было, а сохранить заразу для анализа, как сохраняют энцефалитных клещей :)

Конечно, взломать можно все, но многое зависит от политики. Я ни разу не видел, что ломали сайт microsoft.com, касперского, остальных антивирусов. Не ломают популярные сайты на публичных CMS.

Надеюсь, после такого инцидента отношение к ИБ поменяется у всех отечественных хостеров...

Нашли кому верить, он мне показывает:

http://www.google.com/safebrowsing/diagnostic?site=AS:30407

velcomweb.ca.... домен полгода смотрит на IP который не то что не отвечает он даже не роутится.... Вот откуда бы там взяться вирусам? :) :) :)

Никто не отрицает того, что инцидент неприятный, но вот мифы о "халатности" отечественных хостеров не стоило бы распространять. Майкрософт тоже ломали и не раз. Вот, к примеру http://games.mail.ru/pc/news/2013-03-1/na_sajte_premii_microsoft_proizoshla_utechka_polzovatelskih_dannyh/

Репозитарии Ubuntu, Fedora также ломались в разное время. Сложнее найти того, кого не ломали. Выказывать неуважение к профессионализму всех русскоязычных хостеров, все же не стоит. Многие заявления в этом топике не обоснованы на фактах и носят эмоциональный характер по типу "у нас все плохо, а у них все хорошо". Это не так. Вспомните хотя бы недавние случаи с hetzner.de, ovh.com.

Что касается выводов - они просты. Необходимо регулярно проводить аудит ПО на всех серверах, включая даже редко используемые и поддерживать весь софт в актуальном состоянии, регулярно проверять журналы доступов, подозрительные записи в журналах, менять пароли и/или ключи и т.д. и т.п. Эти очень простые инструкции позволяют предотвратить 99% проблем.

Дважды ловил айпишники майкрософта с флудом. Один раз в этом году, и раз в прошлом. И это точно был не безобидный бот был. Да и не думаю что подмена айпи, так как это не dos-атаки были, а простой спам по сайту и брут админки ВП.

Вы хотите сказать, что я выполнив команду например "yum install httpd" могу установить уже ломанный Apache?

Если бы ломали сервера Windows update, сайт Касперского, securitylab и т.п., я бы тоже сказал "С КЕМ НЕ БЫВАЕТ". Такие инциденты были у Мастерхоста, Агавы и остальных лидеров русского хостинга? Пока нет.

Эмоционально, безэмоционально, а то, что в компании не было четких инструкций на счет реагирования на инциденты с ИБ, а в трудовом договоре с админами из отдела эксплуатации нет строчки, что они всегда должны быть на связи, и что в случае серьезного ЧП они обязаны прибыть на работу срочно (это оплачивается дополнительно), даже ночью (такое есть у военных, пожарных, сотрудников атомных АЭС, технического персонала крупных предприятий) нельзя говорить, что все хорошо.

Именно. А то и ядро. Я не помню, что там было точно, но очень рекомендовали проверить все пакеты на контрольные суммы. Но это было давно, год, может быть два года назад.

Ну вот в соседней теме про таймвеб было, чуть раньше - про рег.ру. Что касается антивирусников - ну вот McAffe ломали точно, про других не скажу, специально не интересовался.

Они то были, но ведь письмо попало в раздел жалоб, а там с пнд по птн:) Это ошибка первой линии техподдержки. Таких жалоб бывает немерено, каждый день получаем аналогичного рода (вирусы, трояны) и разобраться в чем причина рядовому сотруднику техподдержки довольно затруднительно. Обычно письмо берется на контроль, производится проверка, все в штатном порядке в порядке очереди и не по самому важному приоритету (это я про рядовые ситуации с заражением сайтов у клиентов благодаря устаревшим версиям скриптов). Компания же указала - через время, после получения МНОГОЧИСЛЕННЫХ жалоб, вопрос был передан ответственному отделу.

кхм, кхм, сравнение немножко неадекватно. нельзя сравнивать госбюджетище и бюджетик рядового хостера. Это как бы другие порядки. Вероятно, как это часто случается, случилось "несчастливое сочетание обстоятельств" которые, как мы знаем, приводят к падениям самолетов, авариям ракет и т.п. и т.д. Но все же замечу, что успех на рынке, т.н. "везение" базируется на определенных процедурах и кто не может обеспечить их выполнение, в конечном счете теряет свои позиции на рынке.

Квалификация наших хостеров НАМНОГО хуже

точнее, не квалификация (умные ребята есть и среди хостеров тоже, и их очень много, тут я с вами согласен), а отношение к делу и бизнесу

российский хостер может наложить на клиентов, закрыть бизнес, кинуть клиентов и не отдать бекапы, совершать технические глупости (например, делать бекапы на тот же сервер), наш российский хостер работает с 9 до 6, а заявленный 24/7 - просто пометка и отмазка, наш отечественный хостер - это "большая компания с огромным штатом людей и 10ю отделами", а на самом деле - один школьник-админ

наш хостер - это огромное самомнение, саппорт, например, вполне может послать на 3 буквы клиента

на западе же за такое, в крупных хостинг компаниях, просто уволят через 15 минут

наш хостер - это угрозы, выкидывание после первой проблемы (со словами "вы же 5 баксов в месяц платите, нафиг вы нам нужны за 5рку с такими проблемами")

и т.д т.п продолжать не буду

я не говорю, что российские хостеры плохие или глупые, даже наоборот

но стиль ведения бизнеса у нас "сломить с клиента побольше денег, а после оплаты можно насрать на всех и все"

Да, есть среди росскийских хостеров качественные хостеры и людским отношением к делу, к бизнесу, отрасли и тому, чем они занимаются

но таких людей очень мало, так мало, что они просто теряются среди океана бездарностей и школоло

основной тезис, который я хотел высказать:

да, квалификация наших хостеров действительно высока, но отношение к делу и сервис на уровне ниже плинтуса

PS я - патриот, чтобы сразу отбросить грязные инсинуации на эту тему

Да конечно. Т.е. то что внедрить инклуды можно только имея рутовые привилигеи - это ничего не значит, да? httpd.conf ведь овнит рут. И то что эти привилегии получены на 2 сервера тоже? А там где два - там и все. Это настолько большая катастрофа, что уже даже нет слов. Считайте все пароли всех клиентов хостера слиты, все ключи и пароли админов перехвачены, хостер полностью скомпрометирован и еще и смело заявляет, что это никого не коснулось.

И вы называете это квалифицированных хостером? Сори, это вообще позор, а не хостер.

pek01

Я тоже не люблю "квасной" патриотизм. Но я также не люблю обобщений. Вот большая часть того, что вы перечислили, к российским хостерам работающим официально не относится. Из известных это, к примеру, тот же Timeweb, Rusonyx, Masterhost, Valuehost, Nic.ru, Reg.ru. Это крупные хостеры стиль работы которых можно обозначить как "толстый корпоратив". Там другие деньги, другое мышление, много бюрократии и т.п. и т.д. ну все понимают о чем я.

Несмотря на все государственные препоны, как-то живут и мелкие хостеры, у которых штат от 1 до хх человек. Вот здесь, частично вы можете встретиться с тем, что вы так хорошо описали. По той простой причине, что это другой класс бизнеса, он не может быть таким же как описанный в предыдущем абзаце. В этом есть минусы, если вы не поладите с руководителем хостера или с его сотрудниками, зато есть и плюсы - достать нужного человека, который может решать проблемы возможно в принципе (у крупных хостеров это просто невозможно) служба поддержка вас "узнает в лицо" и т.п. и т.д. Сравнить можно так: первый абзац - это огромный гипермаркет, второй абзац - это магазинчик "в шаговой доступности". При этом правила торговли (или в данном случае "Закон о связи" + условия лицензии и другие отраслевые законы и нормативы) нужно соблюдать и там и там, но отношения с клиентом совершенно по разному строятся и бизнес модели разные.

Ну и чтобы поставить точку. Есть и третий класс хостеров - это люди и компании, которые действуют в серой зоне. Естественно, что они могут и цены ставить без учета налогов и от клиентов деньги принимать на кошельки частные и посылать если что и на три и более букв. Это что-то вроде "колхозного" рынка. Тут рынок и никто ни перед кем не ответственен. Не нравится - не покупай.

Вот вся проблема в том, что и вы, и все другие потенциальные клиенты не видите этого разделения - у вас вся эта огромная масса предложений смешивается в кучу т.н. "рынок" со всеми вытекающими последствиями. На таком рынке попасть на хорошего человека или компанию - дело случая.

---------- Добавлено 29.07.2013 в 16:46 ----------

Вот только что пришло письмо о том, что одного клиента похоже взломали:

Dear Sir or Madam

Ebury is a malicious program which affects the Linux operating system.

It is an SSH rootkit with backdoor functionality which is installed by

attackers on compromised systems by either changing the SSH binaries

(ssh, sshd, etc) or, alternatively, the 'libkeyutils' library used by

these binaries.

Once the systems are infected, Ebury steals SSH access data (user names

and passwords) on incoming and outgoing SSH connections and sends these

to the attacker's control server by means of specially prepared

DNS packets. Moreover, the private SSH keys used can also be stolen from

outgoing SSH connections and sent to the attacker.

Ebury also includes a backdoor, via which attackers can obtain full root

access on infected systems at any time. The backdoor connections are not

recorded in a logfile.

The infected systems may also be used by attackers to send large-scale

spam, smuggle in malicious content from websites hosted on web servers

(IFRAMEs with links to Drive-by-Exploits), host DNS servers for spam

and Exploit-URLs or use the system as a platform for other criminal

activity.

CERT-Bund has received a list of IP addresses for systems hosted in Germany

which are infected with Ebury from a reliable source. The affected IP

addresses were identified during the course of an investigation from the

assessment of log data on a control server used by attackers. The compromised

systems have been sending SSH access data and/or SSH keys which have been

spied out in recent weeks to this control server.

We would therefore kindly request that you examine the situation and take

appropriate measures to cleanse the servers.

Ebury uses shared memory segments for communication between processes.

Using the 'ipcs -m' command lists any share memory segments which are present

on a system. If the output includes a large segment (at least 3 Mbytes) with

full access rights (666), this is a clear sign of infection by Ebury.

All access data for SSH keys used on a system since the period of infection

(which, in come cases, might date back several months) as well as SSH keys

for outgoing connections, are to be considered compromised. Further malicious

code has been installed on many of the compromised systems by the attackers

in the meantime. For this reason, instead of performing a time-consuming

cleansing of infected systems, we recommend reinstalling them.

Может кому поможет.

К вам вообще и к бизнесу отношение другое потому что от наших людей количество геморроя нес соответствует тому количеству денег которое вы за это платите.

Повертеть мне большинство зарубежных хостров вашим мечт супортаеться теми же адимнами что и наши. Просто ваше занание английского не позволяет выносить мозг и качать права как вы это делаете на русском и все счастливы :)