firstvds - взлом всех серверов от техподдержки

[root@ ~]# ps ax | grep ssh | wc -l

563

Одна из нод на ОВЗ. Всю ноду брутят, все контейнеры, потому, что на ноду одна подсеть идет.

А что должен сделать хостер? Закрыть всем 22 порт? Причем это не лучшим образом сказывается на нагрузке. Контейнеры под высоким ЛА живут на вермя атаки. Но не об этом сейчас. Брутят подряд по сетке и им пофиг, палятся они или нет.

Я, лично Вам, ничего не навязываю и не собирался. Меня не интересуют ваши отношения с firstvds. Меня не интересуют ваши оценки моего мнения и, я вовсе не требую от вас, соглашаться с моим мнением. Мы с вами не знакомы, баттл с вами я не затевал и побеждать/проигрывать в нем не собирался.

Меня в этой теме интересовало только одно - вопрос об отношениях любого клиента с любым хостером и приведение этих отношений в цивилизованное русло, которое, как я считаю, определяется договорными отношениями и условиями в спорных ситуациях (когда споры выносятся на публику).

---------- Добавлено 21.01.2018 в 10:09 ----------

Ну, дорогой мой, АНБ вот всех слушает, как Сноуден показал, и наша порнуха давно у них в бумажнике. И что? Дырки вот находятся 20 летней давности, позволяющие умелым ручкам получать доступ к серьезной информации. Мы давно живем в стеклянном доме, но должна присутствовать соразмерность инструмента и цели. Не будет никто юзать инструмент за ради скриптов майнинга. Ну не соразмерно это:)

rustelekom

примерно так.

Хостер заявляет что он в лидерах на рынке.

Происходит ЧП ( как сейчас )

Хостер забивает на клиентов.

А должен же помочь ? Массовый взлом же, лично у меня сломали 500+ сайтов, хорошо вовремя принял меры, но увы временные. И самое интересное выше пишут что ломают все на подсети, так вот это не правильно, у меня к примеру на 1м сервере сломали 10 сайтов из 50, на втором сервере сломали 100 из 170, а ещё на одном сервере были 90% сдл у которых были и движки обновлены и плагины премиум и темы. И защита была сделана давно, и всё равно во все без исключения залили вирусы.

Выше писали в сша что то было похожее и там никто не помогает, Так в сша и бомбы ядерные сбрасывали. Какой то примитивный пример.

Тебе ничего не нужно переносить, я с тобой не говорил.

Вот вы как-то по диагонали, давайте по пунктам для простоты:

Хостер заявляет что он в лидерах на рынке. И что? Это его к чему-то обязывает? Вовсе нет.

Происходит ЧП ( как сейчас ) - был такой фильм советский "ЧП районного масштаба". Так вот это даже не районный, даже не подъездный масштаб. Это масштаб вашей квартиры разве что. Её ограбили и это неприятно, но управляющей компании в общем-то на это наплевать.

Хостер забивает на клиентов. - почему? Вот чего-то делают, статью написали. А что ещё-то они могут сделать? Вести следствие у вас в квартире? Так они могут, но это уже не бесплатно, а вы всё хотите, чтобы они сами исследователи да еще и бесплатно нашли злоумышленников. Нет, если в договоре у вас так и сказано, что они должны и что бесплатно - тогда надо требовать соблюдения договора. А если не написано, тогда о чем мы говорим?

А должен же помочь ? Массовый взлом же Количество взломанных клиентов никак не соотносится с условиями договора. С чего хостер должен помогать клиенту, только потому, что он оказался в толпе людей, которые поимели проблемы? При том, что проблема не находится в зоне ответственности хостера. Вот смотрите, что есть ответственность хостера в случае ВПС:

а) доступность площадки.

б) клиентские данные размещенные у хостера.

Вот, пожалуй и все. Остальное внутри ВПС и к этому содержимому хостер доступа не имеет и ответственности за него не несет.

Вот, я скажу, не в обиду ферстдс и не в качестве рекламы нас, что сделали бы мы:

1) Предупредили бы клиента о том, что работы могут потребовать оплаты и что точного результата может и не быть получено.

2) Запросили бы у клиента доступы на сервер.

3) После быстрой диагностики озвучили бы примерную стоимость работ. Если клиент согласился с оценкой - начали бы работы.

4) По результатам дали бы выводы. Что было, в чем была причина и что нужно сделать, чтобы избежать повторения.

Уверен, что в этих шагах нет ничего уникального, это обычный порядок действий. И, также, даже если всё сделать тщательно, результат не гарантирован, так как умный хакер старается следов не оставлять. Поэтому вполне возможно, что источник взлома и не будет найден. Но по крайней мере будет проведен базовый аудит ПО и потенциальные дырки будут закрыты.

И ещё и ещё раз - это всё ВНУТРИ виртуальной машины клиента, в его зоне ответственности. Не СНАРУЖИ в зоне ответственности хостера.

rustelekom, изначально тут вообще писали что кроме заходов с ip саппорта никаких подозрительных заходов небыло. Изначальное оставление дыры (ключей доступа) для тех серверов и вдс, которые не заказывали администрирование - это тоже большой камень в огород хостера.

Это политика компании. Я считаю, что если клиент об этом не был предупреждён, то это нарушение права клиента на приватность его данных. Но надо читать договор, возможно, там об этом сказано. Само по себе, если это согласовано и доведено до клиента - это не плохо и не хорошо и, делать из этого слона, не зная условий договора, нельзя.

Вам это не нравится, мне это тоже не нравится, но хостер считает, что это полезно клиенту. Имеет право на своё мнение при соблюдении указанных выше условий.

rustelekom, так если хостер оставил дыру - пусть чистит теперь сервер от вирусов или доказывает, что был взлом не через эту дыру. Ни в оферте, ни в договоре на предоставление хостинга не нашел инфы про умышленное оставление закладок. Хотя раздел "Конфиденциальная информация" есть, в нем не мешало бы это отразить. Вдс, в особенности на полноценной kvm виртуализации предполагает то, что это полностью выделенная и независимая экосистема, в которую по умолчанию никто не имеет доступа. Когда получаешь после установки root пароль - это понятно, как чистить зубы по утрам, что надо пароль сменить. А тут еще вагон закладок, изза которых по нормальному вообще получается надо самостоятельно переустанавливать операционку по шагам, а не накатывать готовый образ, чтоб от всего этого избавиться.

Вы всем писали, это не ЛС, а общедоступный раздел.

Несколько дополнений к комментариям rustelekom выше.

1. Все статью на firstvds.ru прочитали? Почему вы решили, что проблемы только у Firstvds? Статьи на зарубежных сайтах и на opennet - не показатель всемирного масштаба проблемы?

2. В той же статье есть описание того, как работает ключ поддержки. Еще раз - ssh по ключу доступен только из внутренний сети офиса. Даже не датацентра, офиса. По вашей логике, можно предположить два варианта:

- у нас злоумышленники во внутренней сети и, поверьте, мы бы уже об этом знали;

- мы сами злоумышленники, которые заливают майнеры клиентам и потом их останавливают - абсурд, по-моему.

3. Как верно тут уже замечали, все обвинения (угнали базу, проникли в корпоративную сеть) строятся на том, что: "мой сосед говорит, что он видел в даркнете...". Это действительно что-то доказывает?

4. Еще раз обращу внимание на статью. В ней указаны некоторые кейсы, которые уже были разобраны. Здесь говорили, что кроме lighthttpd и php ничего не стоит, а что, разве в php и lighthttpd, или phpmyadmin - дыр нет? Php-cgi Query String Parameter Code Execution, о которой тоже говорится на opennet?

Примерно так и поступаем. И в тикетах, которые рассылаем клиентам - также описываем порядок действий, который нужно предпринять, чтобы минимизировать риски повторного заражения и исправить ситуацию. И кейсы мы разбираем, о чем также говорится в статье. Поэтому, как уже было сказано выше, давайте конкретики, дамы и господа. Прекращайте переливать из пустого в порожнее.

---------- Добавлено 22.01.2018 в 00:18 ----------

Повторюсь, пишем это в тикетах о том, как защищаться - есть статья на форуме аж с 15 года