Seregakz

FOXI.BY:
Апну я тему, а то она что-то сползать начала... :D

Кто бы мог подумать(!) - права 444 на файл php без важной инфы это страшный грех(!!!) - мы именно так по логам таких вот детей и ловим - наш сайт читаемый, все и лезут как дети напрямую со своих IP и т.д. читать наш конфиг - а логи-то на месте, а толку-то от чтения нет

ZAhost:
А, вы всё ещё здесь :)
Байками кормитесь - ну-ну...
Я тут не буду политику безопасности систем *NIX обсуждать и рассказывать о том, что список пользователей доступен для чтения на любой машине, что вовсе не значит, что можно получить доступ к пользователям и уж тем более к самому файлу /etc/master.passwd (не путаем с приведённым выше куском /etc/passwd). Для этого даже не стоит городить огород - на серверах с DA можно намного проще получить список пользователей и их доменов по сервисам DA. Только вот никому это ещё не помогло никак во взломе серверов и уж тем более в получении root.
Сказки про левого клиента можете рассказывать и дальше - вы вошли по паролю на дополнительный аккаунт ftp - скажете, что получили доступ к базе паролей proftpd и подобрали перебором хеш md5 для данного логина?? - не смешите мои тапки, они и так смешные. Эксплоит был залит по ftp под правами юзера ;) как я говорил выше – логи-то все на месте. Когда root получаем (якобы) – логи-то чистить не забываем ведь?..

minehost.ru был нашим реселлером (арендовал у нас сервера) и когда закрылся - мы приняли к себе его пользователей (по просьбе самого minehost.ru), так как их просто забросили бы до отключения серверов.

ZAhost:
NetPromotion, дети, они везде дети. Прощать им нужно всё, но и наказывать стоит... Мы вас прощаем, а накажут вас другие...

snifer, манибек за предоставленную неотменимую услугу надлежащего качества (регистрация домена в аккаунт клиента)? Да вы наверное шутите! 8)
А по хостингу - только так и делаем всегда. У нас нет ни одного прецедента когда мы бы украли хоть копейку у кого-то или вымогали бы за что-то деньги. Для нас репутация и имя (в отличие орт подобных ТС) - это всё. Именно потому у нас клиентов всё больше, после каждого такого топика на форумах!

# $FreeBSD: src/etc/master.passwd,v 1.40 2005/06/06 20:19:56 brooks Exp $
#
root:*:0:0:Charlie &:/root:/usr/local/bin/bash
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5:System &:/:/usr/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8:News Subsystem:/:/usr/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin
_dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico
pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin
admin:*:1001:1001:User &:/home/admin:/sbin/nologin
mail:*:12:6:User &:/home/mail:/bin/sh
diradmin:*:1002:1002:User &:/usr/local/directadmin/diradmin:/bin/sh
ftp:*:1003:14:User &:/home/ftp:/bin/sh
apache:*:1004:1003:User &:/var/www/apache:/bin/sh
mysql:*:1005:1004:User &:/home/mysql:/bin/sh
webapps:*:1006:1005:User &:/var/www/html/webapps:/bin/sh
majordomo:*:1007:1:User &:/etc/virtual/majordomo/majordomo:/bin/sh
dovecot:*:1008:1006:User &:/home/dovecot:/bin/sh
audio:*:1009:1009:User &:/home/audio:/sbin/nologin
allicq:*:1010:1010:User &:/home/allicq:/sbin/nologin
adainas:*:1011:1011:User &:/home/adainas:/sbin/nologin
adeka:*:1012:1012:User &:/home/adeka:/sbin/nologin
aleksandr:*:1013:1013:User &:/home/aleksandr:/sbin/nologin
anger:*:1015:1015:User &:/home/anger:/sbin/nologin
aurendil:*:1017:1017:User &:/home/aurendil:/sbin/nologin
autocar:*:1018:1018:User &:/home/autocar:/sbin/nologin
baltiks:*:1020:1020:User &:/home/baltiks:/sbin/nologin
chatromz:*:1023:1023:User &:/home/chatromz:/sbin/nologin
darkmaster:*:1026:1026:User &:/home/darkmaster:/sbin/nologin
deton:*:1028:1028:User &:/home/deton:/sbin/nologin
doktor:*:1031:1031:User &:/home/doktor:/sbin/nologin
dras:*:1033:1033:User &:/home/dras:/sbin/nologin
cir:*:1034:1034:User &:/home/cir:/bin/sh
duke:*:1037:1037:User &:/home/duke:/sbin/nologin
dvdquiz:*:1038:1038:User &:/home/dvdquiz:/sbin/nologin
eugene:*:1039:1039:User &:/home/eugene:/bin/sh
ezhov:*:1040:1040:User &:/home/ezhov:/sbin/nologin
gigant14:*:1042:1042:User &:/home/gigant14:/sbin/nologin
goblin:*:1044:1044:User &:/home/goblin:/sbin/nologin
icegex:*:1046:1046:User &:/home/icegex:/sbin/nologin
intertc:*:1050:1050:User &:/home/intertc:/sbin/nologin
ivanlev:*:1051:1051:User &:/home/ivanlev:/sbin/nologin
james:*:1052:1052:User &:/home/james:/sbin/nologin
kadet7:*:1053:1053:User &:/home/kadet7:/sbin/nologin
konakovo:*:1056:1056:User &:/home/konakovo:/bin/sh
krezy:*:1058:1058:User &:/home/krezy:/sbin/nologin
kub:*:1059:1059:User &:/home/kub:/sbin/nologin
likeastar:*:1061:1061:User &:/home/likeastar:/sbin/nologin
oslov:*:1067:1067:User &:/home/oslov:/sbin/nologin
ostgur:*:1068:1068:User &:/home/ostgur:/sbin/nologin
pitercc:*:1070:1070:User &:/home/pitercc:/sbin/nologin
povareshka:*:1072:1072:User &:/home/povareshka:/sbin/nologin

cp_def_lang = 'rus';

//Portal System Settings
//SET_PAGE_TITLE BEG
switch ($_TOP) {

case 'zahost.biz':
$PAGE_WNAME = 'ZAhost';
$PAGE_TITLE = 'ZAhost - ЗАмечательный хостинг!';
$DESCR = 'Хостинг ZAhost замечательный хостинг домены .ru .su .eu .ws .by .bz .cc .cn .co .ch .jp .de .us .xxx .biz .pro .com .net .org .info .name zahost';
$SIGNT = 'ZAhost - ЗАмечательный хостинг. От 37 центов! Домены в зонах .ru .su .eu .ws .by .bz .cc .cn .co .ch .jp .de .us .xxx .biz .pro .com .net .org .info .name и другие провайдерские услуги ...';
break;

case 'zahost.ws':
$PAGE_WNAME = 'ZAhost';
$PAGE_TITLE = 'ZAhost - ЗАмечательный хостинг!';
$DESCR = 'Хостинг ZAhost замечательный хостинг домены .ru .su .eu .ws .by .bz .cc .cn .co .ch .jp .de .us .xxx .biz .pro .com .net .org .info .name zahost';
$SIGNT = 'ZAhost - ЗАмечательный хостинг. От 37 центов! Домены в зонах .ru .su .eu .ws .by .bz .cc .cn .co .ch .jp .de .us .xxx .biz .pro .com .net .org .info .name и другие провайдерские услуги ...';
break;

//PRIMARY
default:
$PAGE_WNAME = 'ZAhost';
$PAGE_TITLE = 'ZAhost - ЗАмечательный

ZAhost:
Zil, один из лучших.

Seregakz, расслабься. Все клиенты работают. По данному IP абуза прову ушла, логи и файлы все сохранены, заявление в К на неделе будет. Не впервой ламерьё гонять - научились за 6 лет-то...
50 на 50 обычно шансы...

ZAhost:
Seregakz, в аутпосте кэш DNS отключи, если найдёшь где. :)

ГореХакер:
82.200.255.141
Залил шел набрутив (или кто-то поделился) паролем от ftp на одном из аккаунтов клиентов.
Очень долго тупил и пытался сделать невозможное. В итоге таки завалил… больше часа парился, бедняга.
И ничего тут не поделать – клиент, доступ к аккаунту которого получил злоумышленник, будет выгнан, так как всех всегда предупреждаем – пароли ставьте сложные, доступ никому не давайте и т.д… но мало кто придаёт значение.

ZAhost:
Seregakz, не разделяем вашего оптимизма - сервер давно уже в сети со всеми восстановленными данными. :D

ZAhost добавил 13.06.2009 в 15:41
Вот и сказочке конец! А кто работает, у кого суппорт в сети круглые сутки, кто домены без подтверждения владения кому попало не отдаст и кто всегда на любой неадекват отвечает спокойно и без хамства - тот молодец ;)
Нам очередной плюс в репутацию (не зря так давно мы на рынке и это при столь низких ценах как на домены, так и на хостинг).

ZAhost:
Наш главный сервер завалили - как видите, ТС и сотоварищи подтвердили, кто есть кто, и кто чем тут занимается (а то многие засомневались, похоже... а зря).
Конечно фаервол (конкретно, pf) на сервере стоял и был настроен как надо, но, как известно, завалить можно всё что угодно, было бы время и желание - будем восстанавливать работоспособность. Дело осложняется тем что физически попасть в KIAE можно только в рабочие дни, так что пока что пытаемся возобновить работу сервера удалённо.

P.S. Нашим клиентам (кто расположен на головном сервере в KIAE): кто виноват в отказе нашего сервера (и отключению ваших сайтов) вы теперь знаете - что делать, догадаетесь сами ;)