Net Форумы

[Maxim Levinzon]

На вашем сервере размещен наш сайт www.satur.ru по договору № 00130848 от 29.08.06 г.
28-29 мая 2007 года сайт был выведен из строя вследствие вирусной и/или хакерской атаки. Нами была произведена проверка хоста satur.ru на предмет наличия уязвимостей.
В результате было выявлено, что на хост-сервере 195.161.113.6 (root2.net.incru.net) напрочь отсутствует элементарный Firewall. Открыты все возможные (и невозможные) порты, которые создают огромную дыру для хакеров и вирусных атак. Наружу открыты порты 3306 (MySQL), 137 (NetBios Name Service), 1434 (Microsoft-SQL-Server) и пр., которые как известно являются отличными точками взлома.
В связи с этим, считаем, что ООО «Нет» как хост провайдер не обеспечил необходимый уровень безопасности хоста, что привело к взлому и уничтожению сайта.
Требуем принять меры!!!

[AP]

Максим, давайте не будем ничего придумывать. С безопасностью на сервере все в порядке.

Взломали ваш сайт через скрипты. Насколько я вижу по тем же логам, которые я выложил к вам в домашний каталог - там есть как минимум одно выполнение произвольного кода в той CMS, которую вы используете.

Вместо огульных обвинений я бы порекомендовал действительно разобраться в чем дело. Посмотреть логи, код. Почитать багтраки.

[LORD]

Господа! Я тоже посмотрел! Maxim Levinzon абсолютно прав! При такой картне и ребенок взломает!

Round Trip Time (RTT): <150 ms
Time To Live (TTL): 55
Доменное имя: root2.net.incru.net
TCP порты (13) 21 ftp => File Transfer Protocol 220 ProFTPD 1.2.9 Server (ftp upload server) [localhost]

22 ssh => Remote Login Protocol
25 smtp => Simple Mail Transfer Protocol
53 domain => Domain Name Server
80 http => World Wide Web HTTP HEAD / HTTP\1.0
HTTP/1.0 400 Bad Request
Server: squid/2.5.STABLE13
Mime-Version: 1.0
Date: Fri, 01 Jun 2007 11:11:45 GMT
Content-Type: text/html
Content-Length: 1196
Expires: Fri, 01 Jun 2007 11:11:45 GMT
X-Squid-Error: ERR_INVALID_REQ 0
X-Cache: MISS from root2.net.incru.net
Proxy-Connection: close

110 pop3 => Post Office Protocol - Version 3
143 imap4 => Interactive Mail Access Protocol v4
443 https => Http protocol over TLS/SSL
993 imaps => Imap4 protocol over TLS/SSL
995 pop3s => Pop3 protocol over TLS/SSL
1025 blackjack => Network blackjack
1080 socks => Socks 4/5
3306 mysql => MySQL 8


UDP порты (7) 67 bootps => Bootstrap Protocol Server
123 NTP => Network Time Protocol
137 netbios-ns => NetBios Name Service
138 netbios-dgm => NetBios Datagram Service
161 SNMP => Simple Network Management Protocol
389 ldap => Light Directory Access Protocol
1434 ms-sql-s => Microsoft-SQL-Server

Я считаю то что сайт флудит скриптом не оправдание некомпетентности хост-провайдера! Так сервера не делают!!!

Я думаю что по крайней мере стоит извинится перед Maxim Levinzon!!!

И вообще очень интересно: говорят что сервер Питерский, а он стоит в Москве!!!!

А на счет выполнения произвольного кода: это может быть и запущенная паразитная служба (демон) на сервере, которая перехватывает трафик. Думаю что стоит проверить и другие сайты. Такие проблемы могут повториться!

[AP]

Простите, о какой некомпетентности Вы говорите?
То, что Вы научились пользоваться сканером портов - это похвально, но отнюдь не говорит о вашем профессионализме. Судя по вашему предыдущему посту, вы ничего не поняли ни из отчета сканера, ни из того, о чем я писал. И уж тем более, простите за резкость, ничего не понимаете в информационной безопасности. Ну совсем. И у меня нет желания преподавать вам ее основы.

Проблема именно в скрипте. Сломали через него (Ну причем тут серверное ПО?). Разослали спам через него. Нанесли ущерб нам и нашим клиентам на данном сервере. Тем, что не следите за безопасностью своих скриптов и данными рассылками впрямую нарушаете договор.

Вам привести логи здесь?


Ну честно, я бы постыдился писать подобные вашим посты.

[Al-x]

[dimcha]

[LORD]

Господа!

Если тут встает опыт о моей компетентности, то спешу Вас заверить, что моему опыту и опыту моих коллег позавидывали бы многие.

За время работы ни один наш сервер ни разу не взломали, хотя пытались и неоднократно!

По роду своей деятельности я постоянно тестирую серверы и системы и насмотрелся таких вещей, о которых вы и не слышали!

Если вы не знаете как обращаться к портам не выставляя их наружу, мне жаль...

Те доводы которые вы приводите я слышу ежеднево!
О том что "мы все умные" я знаю.

Алгоритмы взлома по портам - самые изветные хакерские алгоритмы.
И выставлять на всеобщее обозрение открытые порты и запущенные демоны - явное нежелание делать работу качественно.

Если на ваш хост еще ниразу не нападали (или атака была не замечена), очень радостно. Однако это не повод для кричать что все классно!

На качественно сделанном сервере должно свистеть минимально необходимое количество протов.

Можете поверить моему опыу: в России стоит уже не один десяток серверов, под нашим брендом. За все время пока мы работаем ни один из них не сбойнул.

Думаю это более чем достаточное подтверждение моей квалификации!

[LORD]

А насчет местонахождения сервера, это прямое невыполнене условий договора, если это типовой договор хостинга (прошу прощения если Ваш договор отличается и там это не прописано!), т.к. обычно прописывается физическое нахождения хоста.

[dimcha]

LORD, я кроме Вашего восхваления себя и своего эфемерного бренда не заметил ни слова по теме ((( Если Вы такой профессионал, то скажите - какие порты надо закрыть, а какие демоны убрать? И, что самое важное, укажите объективные причины, по которым мы должны это сделать. Гипотетические хакерские атаки "по всем портам" не в счет. Укажите конкретно - порт, демона, версию ПО, багтрак на уязвимость или хотя-бы гипотетическую низкую секурность.

Расположение серверов в договоре не прописывается.

[AP]

господа

[LORD]

Абсолютно согласен, уважаемый АР. Я не видел скриптов. Вопрос сейчас касается этой темы только отчести. Я понимаю претензию господина Maxim Levinzon. Он не отридцает того что сайт взломали, может и через скрипты. Он говорит о том что хост провайдер тоже мог бы потрудиться обеспечить необходимый уровень безопасности.

И пото, в ответ на:

Проблема именно в скрипте. Сломали через него (Ну причем тут серверное ПО?). Разослали спам через него. Нанесли ущерб нам и нашим клиентам на данном сервере. Тем, что не следите за безопасностью своих скриптов и данными рассылками впрямую нарушаете договор.

Если взломали satur.ru то они получили доступ только к каталогам и файлам satur.ru. Каким образом остальные пользователи могли пострадать если поднят виртуальный хостинг?

[ser_ru]

Господа, можно и я включюсь в ваш разговор.
Насколько мне известно по моему "очень маленкому опыту общения с OS семейства UNIX ", при установке сервера для хост провайдера, на нем обычно не размещают :
1- squid/2.5.STABLE13 ;
2- Samba 138 netbios-dgm => NetBios Datagram Service
161 SNMP => Simple Network Management Protocol ;
3 - И тем более 1434 ms-sql-s => Microsoft-SQL-Server;
Я понимаю, что вы экономите на серверах, но обычно такие вещи разносят на разные сервера.
С какой целью база MYSQL свистит на внешнем интерфейсе ?
И если взлом был произведен через скрипт, то хотелось бы увидить сам скрипт ( до взлома ) и логи доступа по всем открытым портам во время взлома!

[LORD]

Ребят, все понимаю, но зачем выкладывать все логины на сайте???

http://rich.www.net.ru/support/manual/settings#postoffice

Игра "Угадай пароль"!!!

Подбор по словарю или тупой перебор!!! А также зная логин можно натравить снифер по порту!
И ловите ВСЕ!!!!

И это "На сайте обеспечена безопасность"????

Господа! Если хорохоритесь и спорите, то будьте добры хотя бы иногда прислушиваться к собеседнику.
ВЫ НЕ ОДНИ ЗДЕСЬ УМНЫЕ!!! И УЖ ТОЧНО НЕ САМЫЕ УМНЫЕ!!!

(Я, кстати, на самого умного не претендую! Знаю кучу народа умнее! )

P.S. А господин ser_ru вообще один из лучших админов! Его точно половина провайдеров знает!

[AP]

Господа.

Во-первых. Соблюдайте правила сетевого этикета. Надеюсь, мне не надо напоминать, какие? Или надо?

Во-вторых.
В качестве домашнего задания. Вы все живете в одном городе, а даже если б и не, это не стало бы для вас преградой. Разберите скрипты и логи и найдите источник проблемы. Полагаю, что для таких умных людей это не станет проблемой, верно?

А то, подводя итог, мы имеем взломанный через скрипты сайт и кучу ваших голословных и нелепых мыслей о защищенности хостинга. После этого я постараюсь ответить на ваши вопросы, если они у вас останутся. А пока, пожалуйста, прекратите банальный флуд, которым вы занимаетесь.

[LORD]

Уважаемые господа!

Я думаю тот объем информации и доводов, которые привели мы с ser_ru, более чем достаточен для подтверждения вышеуказанных утверждений и тезисов.

Я и господин ser_ru, по-моему, более чем обстоятельно доказали свои доводы на примерах. Вы же так и не привели ни одного довода в свою защиту кроме "мы так думаем и значит так правильно!".

Думаю "нелепо" утверждать что сервер настроен правильно. Судя по набору сервисов складываеся впечатление, что этот же сервак используется как офисный файл- и прокси-сервер. Кроме того на нем крутится какая-то windows-кая база. Ни думаю что это можно назвать "удачной настройкой"!

Если же любое несогласие с вашей политикой расценивается как флуд, чтож оставайтесь при своем мнении.

Бесплатно вас никто учить не собирается!

А на счет логов, и впрямь было бы интересно взглянуть в момент взлома по всем портам. У Вас они должна быть такая информация. Если Вас не затруднит, киньте куда-нибудь! А то мы уже столько про них слышали, но так и не увидели!