ну тогда расскажите нам, как вас крякнули...

Опишу реальный случай который был примерно в 2006 году.
Стоял апач с пхп модулем. Стоял висивиг с файловым менеджером (для заливки рисунков). Оказалось что сам висивиг дырявый и файловым менеджером можно пользоваться без авторизации (причём не напрямую, а набрав волшебный УРЛ). Через файловый менеджер залили бекдор. Через него дефейснули весь сервер.

В итоге выяснили что:
- Ось хоть и была линуксовой, но была заточена под десктоп, и для работы в качестве сервера нуждалась в доводке напильником
- Пользователи не были чрутнуты
- Не среагировали вовремя на предупреждение ЦЕРТа (МинЗдрав ведь предупреждал...)

Надеюсь описание этого случая поможет и вам.

А почему дефейсы не убрали до сих пор?

Американцы врезались в китайский истребитель. Китаец кинул копытца.
А накануне я одной даме программисту объяснял как настроить CheckPoint... предварительно настроив OpenSuse Firewall таким образом что бы он пропускал весь трафик на нужный хост (экспериментировали).
Дама сделала тоже самое с CheckPoint и принялась за установку Windows NT. Но так как подошел конец рабочего дня, естественно что никто не накатил сервис и опшин паки, не переименовал аккаунт админа и вообще не установил на него пароль :)
Утром на IIS уже красовалась надпись о том что американцы де козлы а китайские летчики самые лучшие. Нимду словили. После этого я стал более щепетильнее :)
С тех пор и не ломали :)

Извините, как можно так называть человека который мягко говоря показал Вам что работать Вы или не умеете или ленитесь ? Если же он настолько туп, то как он смог Вас сломать ? Кстати, Вы так и не прокоментировали способ взлома - стыдно что-ли ?

+1
Если он и был бы таким жестоким, то он вообще бы все удалил.

Уважаемый Азиз, который директор! Ваша контора облажалась в очередной раз! И не надо этого отрицать и валить на злобных троллей хакеров.
скажите по существу, чего следует ждать вашим клиентам?! Неустоек?скидок? бонусов? или как всегда жалких оправданий?
ps говорю как клиент!

От дыр на апаче не спасёт, но брут паролей заблокирует. Любой разумный файрвол должен заблокировать кучу запросов с одного ip.

файер может только заблочить, а определить брут, наверно этим занимается не файервол....

Ну ладно, можно выставить правило - между двумя запросами с одного IP должно быть не менее 0.2 секунд. Тоже весьма усложнит брут

не так. зависит от количества пакетов. если много мелких пакетов, как например в большинстве dos/ddos атак, то 800mhz проц может и 1mbps не вытянуть

Мы не настолько эмоциональны говорить такие слова на ветерь.
Эти слова были сказаны с целью психического воздействия на предпологаемого вредителя (как я уже говорил, есть версия умышленной атаки со стороны не доброжелателя, который может находиться прямо здесь под носом, турок здесь ни причем, турку до нас дела нет). А высказывающие против этого мнения люди пусть подумают об этом. Вам не все равно если не вы этот самый тупой идиот на свете?

В ближайшем будущем мы не собираемся сообщать каким образом и что произошло. Мы оповестили, есть факт, мы занимаемся восстановлением.

Хорошо что не пошел в биллур....вовремя отговорили...

Да Вы шутите наверное - кому это нужно..... Не так много ума и знаний необходимо что-б запустить сканер на уязвимости, тем паче что это уже давно практикуют, и сильно сомневаюсь что целью была Ваша компания в силу того что на рынке она мало что представляет даже в Узбекистане.... Скажем так - под раздачу попали по вине администрирования. А был-бы заказ - сомневаюсь что дело обошлось бы банальным дефейсом. А вот с целью психологического воздействия можно обратный дефейс сделать, но уже со своей страничкой - типа "ламер из Турции, мы тебя поймаем и отрежем тебе тырнет".... имхо :)

Да форсом мало кто сейчас делает.... Имхо все стали умные на составление паролей... А вот банить на час-другой айпишники с которых идет цепочка команд на известные уязвимости - это да... Тем паче что идут они обычно веером - как старые так и свежие...

Как-то не по-товарищески, не ожидал от вас, коллеги.
Не красиво, ЯТС.

Судя по всему тема уже убита.

Мужики, далее уже не конструктивно.
Надеюсь что Биллур и остальные владельцы хостинг-площадок сделают из этого случая правильные выводы и обратятся за аудитом по безопасности к компетентным компаниям :)

(мягклиния форева!!!!!! Но sharifa бизнес партнер IBM ISS ... хе-хе)

Надир-ака, никому пока ничего неизвестно, как сломали. Так что любая информация как минимум непроверена

Оффтоп:

да, он среди нас... И он щас обидится, представиться своим реальным именем и начнет качать права. Прям вот в этой ветке. Он же сидит и читает ее запоем.. :biggrin::biggrin::biggrin:

"Звучит с натяжкой" - мягко сказанно, имхо...

Товарищ Азиз, который всё ещё диреткор! Вы вообще ответите на вопрос или нет?! Или вы запустили бота, который только и отвечает "тупой турецкий хакер. найдём в угол поставим"
По делу отвечайте уже!!!!

не совсем понял, что именно рассказать?






скорее всего взломали из-за уязвимости в апаче или из-за кривых пользовательских скриптов.

Тут я смотрю понаписали кучу разного.
И так, попробую внести ясность:
Сервер на линуксе, и изначально был заказан уже настроенным, и полностью укомплектованным всем необходимым софтом. Что такое фаерволл мы прекрасно знаем, и он был настроен на то, чтобы пропускать только объявленные сервисы, среди которых был апач, почта (qmail), proftpd, DNS и сам Plesk. Всё остальное было либо вообще закрыто, либо доступно только дя определённых адресов.

После взлома с сервера были удалены все файлы, в именах которых встречался корень log. Разумеется, операционная система от такого погнала... Все логи вычищены напроч. Попытка восстановить данные ничего не дала. (пробовал около 5 разных утилит). К сожалению, определить точно, как был взломан сервер оказалось невозможным, так как логи выдрали с сервера с корнем...
Возможные способы взлома:
1 - чей то кривой скрипт + какойнибудь эксплойт (подобрать случайно пароль рута было нереально. 12 знаков из цифр и букв разного регистра...)
2 - Какая либо уязвимость в панели управления Plesk, в частности, возможно в системе авторизации SSO.

Сервер был взломан в 6 утра первого января. Разумеется, в такое время никто не сидел, и не мониторил сервера.

вот собственно так всё и произошло.

А бэкапы?

Плюс к этому:

1. Не написал раньше, потому что занят восстановлением работы сервисов.
2. Очень большая просьба, касающаяся всех злорадствующих: воздержитесь от грубых высказываний, пожалуйста. От такого никто не застрахован, и утверждать, что взломать могли только наш хостинг - это очень глупо, ибо других наших хостеров возможно ломануть ещё просто никто не попробовал.

Сергей Каракишьян позволите себе ответить на небольшие уточненяющие вопросы:
1. Firewall был настроен на маппинг необходимых портов и пропуск протоколов. Я правильно понял? То есть никакого анализа пакетов в нем не было?
2. Систем обнаружения атак и вторжения (IDS) точно не стояла так как "Сервер был взломан в 6 утра первого января. Разумеется, в такое время никто не сидел, и не мониторил сервера". Так?
Может и пробовали.

Ну в данном случае, я имел в виду логи.

Есть бекапы сайтов, чьи хозяева настраивали в плеске бекап. (от копирования всего подряд мы отказались в связи с тем, что это жутко грузило сервер. И потом, что мешает настроить собственное расписание?)

1. Нет, разумеется так же отфилтровываются битые, и всякие неправильные пакеты.

2. не стояла. Раз уж пошёл такой разговор, может посоветуете что-то конкретное?

3. А может и пробовали. Не исключено. Может и остальные наши сервера тоже пробовали...

т.е. не получилось востановить логи, из-за этого система встала?

А ядро какое было?

2. Не посоветую, иначе вопримут как рекламу. Однако тут (на форуме) много производителей всякой лабуды типа IDS (на вскидку - три штуки. Cisco, HP, IBM) (Sharifa - партнер всех трех производителей)

Ну не каждый владелец сайта осознает важность резервного копирования. Кроме этого, может и неправильно настроить. ИМХО, лучше брать это на сторону хостера дефолтом.