mvolgin, я вынужден прекратить Вас комментировать и просто оставить Ваши высказывания на суд общественности. Разговор с Вами давно покинул рамки здравого смысла и адекватности.
Сама тема на мой взгляд себя давно исчерпала, инцидент решен, общественность вовлечена. Спасибо за поддержку :) Также спасибо за критику, без нее мы бы давно остановились в развитии, а с ней становимся все лучше и лучше! :)
Бэкап-то полный у нас есть, но пофайловое сравнение двух бэкапов и выяснение, что же изменилось - это задача на три вечера одному сотруднику да и не факт, что получится. К сожалению, это нереально сделать в разумные сроки.
mvolgin, хотите рабочие примеры, как войти в KVM/XEN или Qemu VPS при наличии доступа к их дискам или все же акститесь? :)
Конечно же, мы похерили данные да так похерили, что в принципе можно взять этот дамп и запустить на любом openvz сервере, только, пожалуйста, не на наших мощностях :)
weblad, мы разбирались на Вашем сервере и провели его полный аудит, мы были абсолютно уверены, что он компроментирован. Если бы такой уверенности не было - мы бы сообщили о подозрениях, но никаких мер бы не предприняли.
mvolgin, полиция это сделала на основании аудита других взломанных машин (не у нас), зомби машин ботнета и как раз там были обнаружены координаты контроллера. Кроме этого, мы четко видим сотни соединений от зомби машин ботнета на сетевом оборудовании (к сожалению, постфактум, когда пришла жалоба). Вы представляете хостинг компанию и, уверен, отлично понимаете, как это все делается, не стоит устраивать из темы опросник.
alliance_hosting, поймите, пожалуйста, другого способа решения просто не существует.
А клиент был уведомлен обо всем сразу же.---------- Добавлено 07.08.2013 в 15:13 ----------
У нам пришла жалоба из Евро Полиции, если быть точным http://www.cert.ee о том, что имеется подтвержденная логами и специалистами информация о компрометации сервера (можем Вам выслать, но в частном порядке, это не публичная информация). Пожалуй, более прочных аргументов представить сложно.
Если у кого-то есть root доступ и это объективно подтверждено, то шансов, что "туда зашли и ничего не сделали" ни единого нету.
Прямо-таки любая. Даже уточню специально - абсолютно любая (крмое аппаратной, пожалуй). И KVM и XEN и lxc позволяют получить доступ к диску работающего VPS с ноды (libguestfs в руки).
weblad, разница крайне четкая. Если зловредное ПО запущено от пользователя root (в данном конкретном случае), то, очевидно, компрометирован весь сервер и могут быть инфицированы ssh (например, на уровне что отправит при попытке логина пароль на сторонний сервер), ftp, apache и все остальное. Найти и исправить все следы такого взлома подчас невозможно, зачастую их не видят ни антивирусы, ни специализированное ПО, а нередко методы взлома вообще уникальны и публично неизвестны, что сводит на нет любые способы борьбы с ними.
Если де зловредное ПО работает от имени рядового пользователя (например, apache), то компрометирован только этот пользователь и достаточно удалить вирусы из его папки, переустановка всего сервера, разумеется, не требуется, хватает запуска антивируса и все.
mvolgin, любая без исключения технология виртуализации позволяет получить административный доступ к данным, мы этого не скрываем и пользуемся, когда это требуется, в частности при запросах Евро Полиции.
Пока делаются "нормальные бэкапы" страдают реальные пользователи и реальные ресурсы, на которые льются многногигабитные DDoS атаки. К сожалению, держать ботнет контроллеры включенными ради бэкапа - это за гранью здравого смысла и, к сожалению, мы нее имеем права так делать даже на уровне законодательства ЕС.
Выяснить как взломали можно по дампу, так работают любые компании по расследованию кибер-угроз, рабочий сервер в этом случае не требуется.
День добрый!
Буквально через пару минут мой коллега даст полный ответ. Бэкап мы, разумеется, сделали и выдали клиенту. Возможности продолжить работу сервера не было как таковой, так как VPS был компрометирован на уровне root полномочий и на него был установлен ботнет-контроллер, управляющий тысячами ботов для осуществления DDoS атак.
Никаких вариантов исправления/решения проблемы без полной переустановки не существует (руткит может быть где угодно и найти его не факт что смогут даже эксперты по безопасности), поэтому превентивно был выполнен бэкап и переустановка ОС.
Мы, разумеется, могли сказать, что VPS заблокирован и разблокировка без переустановки ОС неосуществима по нашим регламентам, но чтобы не тратить Ваше время мы предоставили рабочий сервер, куда можно восстановить сайты из бэкапа, на мой взгляд - это лучше. Разумеется, мы можем помочь с восстановлением сайтов, если их очень много.
