legasov

Рейтинг
6
Регистрация
17.08.2006
Как закрыть сайт конкурента, оказывается очель просто

Еще один момент (навеяно предыдущим постом) - когда буржуи налагают пенальти или блокируют хостинг, то все молча подчиняются, понимая что закон в Америке есть закон. И никто не будет его под вас менять. Скорость реакции буржуев на абузы такая быстрая еще и потому что если медлить, то может дойти до конфискации железа (на практике, правда, не сталкивался).

А когда российский провайдер соблюдает законы и провайдерские соглашения (да и просто следует здравому смыслу), то он сразу редиска и редкостная сволочь.

Владимир Волков

Если конкурент решил использовать грязные методы борьбы с вашим сайтом, то почему он не выбрал более действенный метод - заказать "раскрутку" вашего сайта у каких-нить пионеров-любителей дорвеев.

Как закрыть сайт конкурента, оказывается очель просто
jorevo:
Между прочим, неправильно они это делают. Потому что рассылка с других серверов, это так называемый "пассивный спам" и по сути закрывать аккаунт тут не за что, тем более когда на аккаунте висят и другие сайты.

А какая разница получателю спаму какой он и через чьи релеи в реальности разослан?

Как закрыть сайт конкурента, оказывается очель просто

А как отличить клиента, который спамит сознательно? Спамит и говорит, что это не он инициировал рассылку спама?

Так же, как и sweb поступит любой другой российский провайдер. Тот же самый Зенон в конце концов не устоял и избавился от АА.

Я лично, когда вижу т.н. называемый "непрямой" спам иногда отписываю хостерам.

Правда, бывают тяжелые случаи. Недавно пришел спам с рекламой домена немаленькой конторы, у которой своя AS и сервера в приличных ДЦ.

Определяем всех хостящихся на одном IP
VadimNext:
Подскажите, как определить ВСЕХ хостящихся (виртуальный хостинг)
на одном IP?
Из известных мне способов наиболее достоверные результаты дают два :
- http://www.seologs.com/ip-domains.html ( спасибо bonzaza.)
- http://search.live.com с ключом поиска : ip:xxx.xxx.xxx.xxx
(рекомендуется установить параметры :
Объединять результаты с одного веб-узла.Выводить первые "1" результата
Отображать по "50" результатов на странице)

Ну, а есть более достоверные способы?

А в чем недостоверность этих способов?

К этой штуке бы еще прикрутить возможность анализа владельца домена и тогда можно оценивать количество клиентов на одной машине у хостера.

Важно! Владельцам сайтов на Валюе

Блин. Это уже начинает надоедать. Отвечу последний раз в эту тему.

Independence:
Я склонен верить в то, что была украдена база данных клиентов со всеми(!) данными о них, включая логины с паролями. Более того, она была выложена в сети и я даже хотел ее скачать, посмотреть, во-первых, как это выглядит, а во-вторых, есть ли в ней я.

Где можно скачать базу? Интернет не том место, откуда что-то можно убрать, единожды попавшее в него.

Independence:
Пароли у меня были валюхостовские, то есть не для дурачка.

У вас были пароли, который вам выдал провайдер? Пароли надо менять.

Не надо использовать одинакового пароля для разных сервисов.

Не надо пользоваться незащищенными соединениями вроде FTP и HTTP для передачи паролей и пр..

Не надо использовать кривые скрипты и всякие популярные форумы и CMS, если не обладаете соотв. знаниями.

Таких "не надо" можно еще мильен написать.

Independence:
Ваши сомнения мне малопонятны. Также как и то, что Валюхост не обращается (был бы рад ошибиться) в управление К и его клиентам приходится заниматься самозащитой или попросту сваливать к другим хостерам. Но теперь это уже только его проблемы и оставшихся у него клиентов.

Т.е. провайдеру нужно обратиться в милицию, чтобы те нашли кто украл базу?

Вы верите, что управление К это компухтерные специалисты, а не просто милиционеры?

Вы верите, что милиция сможет найти человека, который украл эту базу?

Independence:
Это для пользователей. Логи есть разные. По умолчанию они дают логи обращения к сайту. То есть, если модификация файлов осуществляется через "внешнуюю" программу типа файл-менеджера, то это по этим логам легко определяется. Есть дата модификации файла, дальше ищется обращение к файлу, смотрится метод (POST), смотрится IP, с которого это было сделано. Если же эти логи чистые, то можно сделать вывод о том, что заход осуществлялся через FTP или Shell или через панель управления. Что касается шелла, то он тоже дает логи (файлы с названиями типа sess_*****), по дате и содержимому которого можно понять, заходил кто или нет. Что касается логов по FTP и панели управления, то они хранятся отдельно и компания предоставляет их по отдельному запросу (в случае взлома, обращения правоохранительных органов и пр.). Хотя есть возможность осуществлять правку через панель управления, это делать неудобно. Так что имхо, если не используется что-то "внешнее", то либо шелл, либо FTP (если есть дыра и ломается большое количество клиентов, в таком случае шелл, более вероятен, имхо) - тогда, если над сайтом работает 1 или всего несколько человек, то посторонний по IP вычисляется еще более элементарно, чем в описанном выше случае для обращений к сайту через веб, - его просто видно сразу.

Ну и? Если кто-то украл ваш пароль, который за каким-то хреном хранится в отрытом виде у провадера (ну пусть так) и поменял у вас контент - смените пароль, вычистите каку и живите дальше. Поставьте флаги, как я писал ранее (на дурачка проканает).

Можно предположить, что какой-то пионер нанятый в саппорт с улицы натаскал из базы initial-паролей клиентов, может даже скрипт написал, который это сделал.

От такого можно защититься лишь нормальной кадровой и оплатной политикой. Валуехост народный провайдер с бросовыми ценами - появления случайных людей там весьма возможно. Нельзя иметь хостинг за три копейки и держать нормальных спецов на всех позициях.

Но в то, что кто-то сломал интранет валуехоста и стырил базу или сломал сами мастер-машины хостинговые я слабо верю. Тогда бы надо было тырить что-то более интересное, чем пароли к виртхостингу.

Нужно сервер арендовать и настроить
Lupus:
Самый правильный подход. :) Попробуйте поговорить по телефону с админами выбранного датацентра. Часто с ними можно договориться в частном порядке.

Может я и не прав, но много вы видели админов, которые работают с MS Windows? Я имею в штате у хостинг-компаний.

Может быть только один, тот который машины секретарш и бухгалтеров настраивает. :-)

Важно! Владельцам сайтов на Валюе

Ну хорошо. Если это взлом хостинговой машины, зачем заходить шелом на аккаунты?

Если бы все сломали, то не имело бы это смысла.

О каких логах идет речь? Провайдер предоставляет логи, которые имеют отношение только к вашему хостинговому аккаунту.

Еще раз говорю, что база паролей это фикция какая-то. Зачем хостеру база паролей своих клиентов?

Если так все плохо, я бы тупо попробовал поставить всех файлам "immutable" флаг. В линуксе это работать не будет. Также не стоит это делать для файлов, которые изменяются скриптами. Это имеет смысл для статики. 

сhflags -R uchg FOLDER-WITH-DATA

Не все догадаются посмотреть флаги. Или не все полезут смотреть, почему скрипт внедряющий враждебный код не отработал.

Также стоит смотреть дату последнего изменения файлов (можно find-ом). Если у вас статика и будут появлятся измененные файлы, то легко понять, что в них опять что-то запихали?

Важно! Владельцам сайтов на Валюе
Independence:
Опущу детали и вопросы, почему Валуй, теряющий клиентов, ничего не делает. Мне это непонятно.

Анализ того, как это было раньше.
У взломщиков были системные логины с паролями к акку. Логи подтвердили то, что был заход и в контрольную панель, и по FTP, и через Shell. На сайт была залита программа icon1.php (это было видно в логах - сама эта программа, модифицированные файлы со ссылкой на левый сайт через IFRAME, откуда и подгружались вирусы).

По сути эта программа представляет собой что-то типа файл-менеджера, посредством которого можно проводить манипуляции с файлами, папками на сервере. С ее использованием впоследствии и были заражены (вставлен IFRAME) очень многие файлы сервера (всех сайтов-акков). Причем включая те папки, которые вообще не использовались под сайты и не были видны из сети.

Дальше оказалось, если это не вранье, что за проведение модификации страниц сайтов пользователей на Валуе где-то на хакерском форуме пообещали заплатить $ в Вебмани, пароли к сайтам предоставлялись, из чего можно задуматься о том, что компанию могли заказать либо конкуренты, либо обиженные сотрудники. Косвенно это подтверждается тем, что непосредственно заливка скрипта осуществлялась в одного IP, а модификация уже с другого (др. подробности, почему есть основания полагать, что разные не только IP, но и люди, опустим).


PS: потом в поисковиках запрашивался этот файл icon1.php, встретился он еще на некоторых сайтах. в т.ч. он лежал открыто в папке то ли хакерской какой-то группы, то ли разработчиков. сам скрипт по запросам предоставлять желания нет. могу указать авторов (эта строка стоит в конце скрипта): <!-- coded by tjomi4` :: nst.e-nex.com -->
Размер: 787 строк, ~ 26 Кб. Называться может icon.php (без 1) и т.п. Ничего такого особенного в нем нет. Взломщики могли для своих целей взять и какой-то другой файл-менеджер.

PPS: сейчас уже, наверное, использовалось и делалось что-то другое. но при анализе своих логов можете определить, что и как. по крайней мере, в отличие от некоторых хостеров, что-что Валуй делает хорошо - так это хранит и дает логи.

Так и не понял. В чем вина валуехоста в данном случае?

Если там одинаковый пароль на шел и ФТП, то надо искать людей, которые просто посмотрели ваш траффик. Если это не так, ищите другие способы, которыми бы он мог быть скомпрометирован.

Опять же мне непонятно, откуда такая инфа, что хостеры хранят какие-то мифические базы паролей? Для чего они им?

Если же речь идет об initial-паролях, которые сохраняются в переписке (как у хостера, так и у клиента), то тут может быть много вариантов. Действительно какие-то обиженные пионеры-бывшие работники или какой-нибудь троян у пользователя на компухтере.

Максимум до чего могли дотянутся сотрудники это до хешей, которые подсунули потом брутфорсеру. Большинство пользователей используют насколько простые пароли, что перебором подобрать их не сложно. Был бы только словарь адекватный нашему менталитету и культуре.

Мое ИМХО - рассказы про кражи парольных баз провайдеров это что-то из категории историй про гигантских крыс в московском метро или мегавзлома века Левиным Сити-банка. Очень занимательно для простого пипла, но далеко от действительности.

Независимые SEO-тесты хостинговых компаний
Перец:
Который можно посмотреть здесь - http://uptime.ru, если вы верите этому сервису.

Сервис мог бы быть полезным, но формат представления данных какой-то странный и неудобный для анализа. Для мониторинга своего сайта (если нет других возможностей) его можно использовать, а вот для оценки качества провайдеров, ИМХО, вряд ли.

Что говорить, если до сих пор не могут прикрутить нормальное определение площадок и аплинков. Если не ошибаюсь, то также нет разделения на коло/дедики/виртхостинг..

Для уставших искать хост

В целом то все здраво, но:

* 1500 в месяц это несерьезно. Тем более надо учесть оплату за первичную настройку, которая будет достаточно приличная.

* Сложно найти надежного человека. Действительно "своего". Фрилансер-админ это совсем иная штука нежели фрилансер-дизайнер или переводчик. Там работа передана и до свиданья.

* Понятно, что ни о каком круглосуточном дежурстве такого админа речь тоже не идет. Либо это потребует дополнительных оплат ему.

ИМХО, подход нормальный, но для массового использования не особо пригоден.

12345 6
Всего: 58