Помогают ли хостинги в защите клиентских сайтов?

В разделе "Услуги для вебмастеров" есть предложения помощи. За свои ошибки так или иначе приходится платить.

Автоматизированные решения есть, они могут быть бесплатными.

Это проверка антивирусом, mod_security, изоляция сайтов друг от друга в пределах одного аккаунта.

Но если вы хотите чтобы с вами работал специалист, его труд нужно оплачивать. Неважно, включать в стоимость хостинга, или отдельно за каждый инцидент. С зараженным сайтом можно провозиться весь день, а то и несколько дней, а если сайтов много, то все может растянуться надолго. Штат поддержки для такой услуги нужно однозначно расширять.

Пример работы антивируса, время реакции на заливку шелла < 1 мин.

Это скрин срабатывания системы на Гуд-Хост? Интересненько....

Ну так вот же ниша для бизнеса! Зачем меряться SSD и гигагерцами, демпинговать ценами, разводить сервера по разным IP и континентам и проч. - если есть куча безработных специалистов, антивирусы, моды, еще что то что поможет повысить уровень обслуживания клиентов и при этом поднять доходы фирмы? Лично я бы, будучи доволен таким обслуживанием перетащил бы туда кроме своих сайтов еще и не один десяток сайтов клиентов.

Ну вот мы включили всё это давным давно (года два уже используем). Неинтересно это клиентам. И тем более неинтересно им обновлять движки своих сайтов своевременно. Им проще оставить всё как есть и периодически жаловаться на то, что их аккаунты блокируют, потому что на одном из 100500 сайтов которые они напихали в один аккаунт, завелась уязвимость. Заблокируйте мне мол один сайт. А то, что если всё хранится в одном аккаунте - ВСЕ сайты могут быть заражены - им недосуг понять.

Автоматика, увы, не сможет всё отследить, многие вещи определяются только вручную, а это $15 за час у нас. А за такие деньги клиент пойдет и купит ВПС, на котором его трогать как бы не будут. То, что его ВПС без должного наблюдения превратится рано или поздно в помойку, опять же клиента не интересует...

CookieM

антивирус не видит даже половины гадостей, это костыль а не решение проблемы.

rustelekom

на таких впс потом жесть твориться

Вот тут полно вумных академиков, от которых вирусам нерт никакого спасения... Может кто подскажет что я могу понять из строки лога?

[домен сайта вырезал] 50.23.210.133 - - [19/Nov/2015:03:43:40 +0300] "POST /wp-includes/js/tinymce/plugins/file.php HTTP/1.1" 200 340 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"

При этом вижу серию подобных попыток с результатом, отличным от 200 - не удается.

Что могу подумать?

Какой-то злобный америкос взял и положил мне вирь? Это визуальный редакторв tynymce на WorPress - есть страшная уязвимость и надо срочно от него избавиться и кодить только ручками?

Вариант взлома ФТП отметаем? Вариант что пролезли с соседнего аккаунта тоже. На что это вообще похоже?

Могут просто проверять на уязвимость, ведь обновлять надо не только сам движок, но и плагины и шаблоны для него.

Да, в реальном времени проверяются все изменяемые скрипты, но только там где у нас SSD диски.

На серверах SATA/SAS дисками такая проверка раз в сутки.

Чтобы что-то понять, нужно настраивать на стороне сервера подробное логирование POST запросов.

Ну и стоит посмотреть сам файл, возможно там шелл и сидит.

Для усложнения лечения, часто шеллы по цепочке льют через другие шеллы.

На месте владельца сайта, я бы восстановил бекап, обновил все что можно обновить, и сменил бы все пароли.

Далеки Вы от реальности. этот и другие ваши посты.

Вопрос именно к Вам, что делают когда рутают систему? (По вашей версии процент таких взломов прямо зашкаливает.)

Ну явно заливают шелы на все юзерские аккаунты и потом начинают спамить с них (через ВЕБ с правами апача) оставляя кучу следов и нарушая работу многих сайтов, ну фишка у "рутовцев "такая - чтобы ВСЕ обратили внимание что сервер ВНАТУРЕ взломан.

Логика где? От такого бреда логика нервно курит в сторонке.

ps: я не хостер и не предоставляю никому услуги хостинга, если для Вас это красная тряпка 😂

Повторю вопрос, если до сих пор не поняли намек: что делают, когда рутают систему?

Подсказка: в первую очередь делают так, чтобы никто не понял, что система взломана.

а заливка вебшелов на юзерские аккаунты на которые сетует ТС - это так далеко и фиолетово. При взломе хостера и руте системы шелы и прочая требуха не нужна и оказывают наоборот медвежью услугу.

Так что версия о взломах хостеров - совсем мимо.

---------- Добавлено 21.11.2015 в 21:42 ----------

Вы можете понять, что сайт на этом IP взломан. И запрос с этого IP проходит к Вам транзитом.

Внимательно не смотрел, но первый попавшийся сайт там был Джомла, а это почти диагноз... :)

из стартпоста логично же завести еще 3 аккаунта на джино и разместить там эти 20 проблемных сайтов, зачем еще искать хостинг?

Блин, в разделы безопасность, разработка, хостинги хоть вообще не заходи 😂 Задолбаешься одно и тоже объяснять на разные лады.

Повторяю:

Логика в том, что бы ПРОДАВАТЬ ДОСТУПЫ К ОТДЕЛЬНЫМ АККАУНТАМ. Я не знаю уже, картинку что ли вам нарисовать или че? Что бы сам взломщик занимался спамом или там сливом трафика/размещением ссылок - ОЧЕНЬ большая редкость. Большинство продают и забывают.

Шелл заливается, обычно, на пару минут при самой продаже и потом уже покупатель свои бекдоры лепит там и всякий шлак. И прикол в том, что хостеры предпочитают не думать о скомпрометированном сервере, а всё валят на клиентов. А продавец всячески этому способствует создавая "уязвимости" и рисуя в логах якобы "взлом движка".

Я знаю человека, который купил за несколько сотен килограмм грина 0day и тупо пошел ломать хостеров. На мой вопрос типа почему не хакнуть вебмани там или киви и получить сразу миллионы профита он ответил: потому, что взлом веманей похерит уязвимость в считанные часы, профит не факт что будет вообще, а последствий можно ждать всю жизнь очкуя от каждого звонка в дверь. А хостеры - безопасно, дешево и сердито. Вероятность похерить уязвимость через хостера близка к 0 т.к. у них нет столько денег, что бы нанять спецов изучать те или иные сорцы лишь по подозрению, что порут был через эту часть программы. Многие хакеры идут атаковать хостинги без какого-либо предохранения со своего домашнего айпи - настолько они уверены в успехе и не без причин. Это даже стало своего рода фишкой.

Вы хоть и не хостер, но рассуждаете в страусиной логике менеджера-хостера: "Порутанный сервер немедленно стартует и улетает в космос, что бы там там подключиться к спутникам и качать бабло своему новому хозяину. А если там доры и WSO раскиданы, то это не порут, а школота балуется через скули инфа 100%".

Вы попробуйте порассуждать с точки зрения взломщика.

Ему этот сервер - 2-3 часа потраченного времени. За $500-1000 уходят доступы к самым вкусным сайтам, описание бекдоров пишется в текстовый документик и уходит в дальнюю папку, где забывается навсегда.

Покупатели тоже далеко не идиоты и стараются не палиться в меру своих знаний (часто не без подсказки продавца).

Через месяц, пол года, год, когда кто-то-таки спалится никаких препосылок думать о взломанном сервере нет.

Самые дотошные хостеры находят лишь бекдоры покупателей замаскированные под уязвимости сайта.

А большинству вообще насрать.

Если Вы думаете, что порутанный сервер вдруг начнет восстание машин, а трафик с него будет сливаться со всех сайтов исключительно рассово верным способом через левый модуль апача или на крайний случай через auto_prepend_file в основном конфиге пехапе - то это не так. Всё делается старым добрым коцаньем клиентских скриптов из под минимальных правов в расчете, что админ купится на "виноват ни йа, виноваты они". Именно потому, что, в итоге, это менее палевно ибо самодеятельность в апаче будет рано или поздно замечена, а качели "да там у клиента дыра" могут тянуться вечно. И, можете не верить, но это работало, работает и будет работать всегда.

Для лучшего понимая ситуацию можно сравнить с пришествием инопланетян. Если они начнут шмалять лазерами и создавать готовых человеков нелево-направо, то очевидно: мы произошли от инопланетян. А если они посадят сраный цветочек подкорректировав предварительно параметры климата - то это уже называется "эволюция", а инопланетян никаких не было вообще, это выдумки. И самое главное: даже если мы разовьемся уровнем выше самих инопланетян - мы не сможем однозначно понять как было на самом деле. Ибо, действительно, всё развилось естественно и под этим самым естеством похоронило все начальные данные.

Аналогично и тут: взломщик заходит, создает "уязвимости", чистится и уходит навсегда. А жизнь на сервере буйно развивается и не успеваешь опомниться, как всё заросло и триперозавры кругом топают. И виноваты клиенты, а взлома вообще не было, это выдумки. Единственное свидетельство инопланетного присутствия как то продажа пачек сайтов с одного сервера хостерами в упор игнорируется и до усёру доказывается, что "там просто у всех клиентов сервера один и тот же движок и одни и те же в усмерть уязвимые плагины". Ну да, именно так. Любители определённых движков всегда держаться стадно, по 400 штук на одном сервер - это доказанный наукой факт :)

Или ещё сказки, как выше рассказывал ростелеком, про то, что хакеры сканируют хосты одного айпи, "что бы найти уязвимый движок". Конечно, гугла же нет для поиска движков, вот и приходится, бедным, искать по серверам :)

Есть исключения, да.

Например, когда имеется уязвимость LFI и взломщик ищет определённое сочетание на сервере: один совсем дырявый + много с lfi. Потом ломает совсем дырявый, льет /tmp/include.php и через LFI ломает остальные сайты. Но вероятность такого расклада один на миллион. А продают пачками с одного сервера каждый первый сравнительно профессиональный продавец (у кого витрина 100+ держится постоянно). И, к слову, возможность пролить/подключить /tmp/include.php это тоже косяк хостера.

зы Если Вас или кого-то корежет при слове "порутать", то я его употребляю исключительно для обозначения направления взлома от частного к общему. Это вовсе не значит, что при 90% взломов хакеры получают вышку атакуя в лоб ОС имеющую уязвимости. Это может быть, как уже было сказано ранее, множество других способов доступа к аккаунтам, фтп, бекапам, крону, базам, NOSQL-серверам, разным "панелям" и прочее прочее, тысячи их. Это может быть даже социалка, когда хакер прикинувшись бревном под видом клиента провоцирует техподдержку на те или иные действия на сервере, которыми взломщик потом воспользуется для поднятия своих прав. Многие, в частности вон Den73 думают про "порутать" как нечто такое сверхестественное вроде полёта на луну, с непременным привлечением "общественности", многостраничными срачами на линукс-бордах с немедленным выпуском патча и выпиливанием ответственного разработчика. Но это не так. Взлом это не благородная дуэль по типу выше дальше сильнее. Это обман, хитрость и использование слабых мест противника. А у хостеров их навалом: денег нет, возможности железа растут, нубы-клиенты достали и т.п.