SEO блог
Facebook SEO блог о поисковой оптимизации и продвижении сайтов Twitter SEO блог о поисковой оптимизации и продвижении сайтов RSS
SEO блог о поисковой оптимизации и продвижении сайтов
SEO блог о поисковой оптимизации и продвижении сайтов
SEO блог о поисковой оптимизации и продвижении сайтов
Спасибо

Спасибо

Всем привет. Как вы знаете мир не без добрых людей, особенно интернет, где все друг другу рады, всегда помогают и поддерживают. Для тех кто не понял это был сарказм.

Предыстория. У меня 2 сервера, один держу у fastvps, другой у … в общем не важно. Первоначально их было 3, но изза сокращения доходов было принято решение перенести все сайты с 3-го на FASTVPSовский и там сделать на OpenVZ виртуальный сервер, где и хранились сайты на PHP 5.2 + экспериментальные проекты + перенесенные сайты.

К слову, в интернете я редко перехожу кому дорогу, если не считать попандер, некоторых инфобизнесменов и тд. по мелочи. Плюс, как и у всех есть завистники и просто те, кому личность моя неприятна) Если вы думаете, что у Вас их нет – то сильно заблуждаетесь.

К чему все это я клоню, да к тому, что только начал показывать народу публично свои проекты ( хотя проекты это громко сказано, скорее полуСДЛ, граничащие с ГС), как началась полная х*ня. То DDOS, то какой-то дЭбил брутил админки, то спам от индусов и тд. Но сейчас пошли совсем другим путем – ломанули целиком сервак. Просто переведу диалог с тех. поддержкой FASTVPS:

______
Здравствуйте!

К сожалению, вынуждены сообщить Вам, что на Ваш сервер 5.9.158.175 поступила жалоба от Датацентра.

Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.

Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).

Обращаем внимание, что в случае отсутствия реакции на жалобу, Ваш сервер может быть заблокирован Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет.

С подробностями жалобы Вы можете ознакомиться ниже.

Return-path:
Envelope-to: abuse@hetzner.de
Delivery-date: Tue, 12 Nov 2013 21:36:45 +0100
Received: from [199.83.49.83] (helo=main.cnservers.com)
by lms.your-server.de with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.74)
(envelope-from )
id 1VgKhY-0004OA-Sn
for abuse@hetzner.de; Tue, 12 Nov 2013 21:36:45 +0100
Received: from root by main.cnservers.com with local (Exim 4.76)
(envelope-from )
id 1VgKgE-0005IY-Qn; Tue, 12 Nov 2013 12:35:22 -0800
To: abuse@hetzner.de
Subject: Network Abuse – DDOS From 5.9.158.175
Cc: abuse@cnservers.com
Message-Id:
From: support@cnservers.com
Date: Tue, 12 Nov 2013 12:35:22 -0800
X-Virus-Scanned: Clear (ClamAV 0.97.8/18102/Tue Nov 12 16:00:26 2013)
X-Spam-Score: 0.5 (/)
Delivered-To: he1-abuse@hetzner.de

Dear Abuse Department,

You received this email because your email is listed on the whois contact information of this IP.

Please be advised, our firewall detected a large DDOS flood, some traffic in this attack were originated from your network.

The IP in your network participated in this attack was 5.9.158.175

The device sending this traffic might be compromised or misused.

Please investigate into this issue and suspend any offensive devices ASAP.

Below are flow samples taken by our routers during a period of the attack, which including timestamp, duration of this sample, protocol, source IP and source port, destination IP and port, number of packets received, number of bytes received and number of the flows received of this sample.

If you have any feedback or question, please feel free to reply this email. We appreciate your effort on this matter.

NTP server owners: Please set rate limit, a lot of ddos attacks are now using NTP servers to reflect.

Time Zone is PST (GMT-8:00)

Date_flow_start Duration Proto Src_IP_Addr:Port Dst_IP_Addr:Port Packets Bytes Flows

2013-11-12 11:07:56.666 6.600 17 5.9.158.175:54269 -> 199.83.50.112:28967 78880 53079680 1

Network Operating Center
CNSERVERS LLC
+1.9713276731
______

К слову такое уже было 1 раз и я все списал на вредоносный скрипт в одном из сайтов на DLE, но как оказалось дело было не в нем. Продолжение событий:

______

Здравствуйте, ///!

Напоминаем, что отсутствие реакции на поступающие жалобы, может послужить причиной для блокировки сервера.
Благодарим за понимание!

C уважением, специалист отдела по работе с клиентами FastVPS Eesti OU
Людмила Рой

К слову, в первый раз разрулить проблему не удалось быстро и ДЦ все-таки блокнул серв на пару часов, сегодня же мой товарищ, который админит сервер не спал и ответил на тикет относительно вовремя. Продолжаем диалог:

К сожалению, вынуждены сообщить Вам, что на Ваш сервер 5.9.158.175 получена жалоба от Датацентра за атаку на внешние ресурсы.

Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.

Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).

Обращаем внимание, что в случае отсутствия реакции на жалобу более 3х часов, Ваш сервер будет заблокирован во избежание блокировки сети Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет.

С подробностями жалобы Вы можете ознакомиться ниже.

Direction OUT
Internal 5.9.158.175
Threshold Packets 100.000 packets/s
Sum 30.067.000 packets/300s (100.223 packets/s), 12 flows/300s (0 flows/s), 0,821 GByte/300s (22 MBit/s)
External 188.241.140.142, 30.059.000 packets/300s (100.196 packets/s), 4 flows/300s (0 flows/s), 0,812 GByte/300s (22 MBit/s)
External 141.8.147.9, 4.000 packets/300s (13 packets/s), 4 flows/300s (0 flows/s), 0,004 GByte/300s (0 MBit/s)
External 198.50.187.97, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 31.181.23.183, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 176.102.219.6, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 46.28.69.184, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)

Далее был предоставлен root пароль специалистам fastvps и был получен ответ:

Дорогой ///!

Был обнаружен троян, с которым мы уже не единожды сталкивались. Троян удалён, ожидаем завершения антивирусной проверки. По результатам которой мы сообщим Вас в этом тикете.

Троян повержен, сервер работает, fastvps зачет : )

Но и не без ложки дегтя. Всем сайтам на виртуалке с суммарным трафиком 15к/уников в сутки пришел п*здец. У некоторых поплыла верстка, у части удалилось меню, у тестового сайта c 7 млн постов пропали записи из блогов. По многим постам вылезает ошибка Can’t create/write to file ‘/tmp/#sql_23a_0.MYI’ (Errcode: 13) и еще куча всяких прелестей + перестали выполняться многие скрипты, в том числе вывод рекламы. Может при удалении трояна задели какие-то файлы, может взломщик похозяйничал – пока ничего не ясно.

Бэкап лежит давнишний и тот не по всем сайтам. Завтра знакомый прогер попробует подправить все это добро, но надежд мало.

Я конечно верю в то, что “случайности случайны” и что DDOS, брут и взлом сервера никак не связаны с тем, что я спалил на всеобщее обозрение сайт. Ведь не даром говорят, что деньги любят тишину, так и с сайтами, лучше разнести все по разным углам и не привлекать к ним избыточного внимания. Абуза поисковикам и фильтр дело поправимое, а вот поправить сайт под DDOSом или взломанный сайт совсем другое дело.

В коммерческое нише это повседневное явление. Вылез сайт по вкусному запросу после апдейта в ТОП – готовься к веселой жизни, так как конкуренция честной бывает очень редко.

Что касается медицинского сайта, то на нем было заработаны сущие копейки, но трафик рос и начал подбираться к 2к уников/сутки, кому-то это видно не понравилось или просто совпадение.

Выводы:
Кругом полно чудаков на букву “м”. Даже ваш казалось бы надежный интернет знакомый, который с виду искренне рад вашим успехам, далеко не факт что не закажет взлом ваших сайтов просто из зависти и потом порадуется тому, как вы плачете ему в ICQ или SKYPE, что все пропало.

Возможно, тот кто заказал/взломал сервер сейчас читает этот пост и радуется : ) Дело его и спасибо ему, что добавил еще немного жизненного опыта.

Что касается сайтов – если завтра получится их вернуть в работоспособное состояние – то ОК, не получится – не велика потеря. Если заработанные с мед. сайта деньги выплатят – перед новым годом раздам комментаторам.

Всем хорошего дня!


SEO блог о поисковой оптимизации и продвижении сайтов
13th Ноя 2013
SEO блог о поисковой оптимизации и продвижении сайтов

Есть 20 коммент. к “Спасибо”

  1. Perchin пишет:

    Статья полезная. Но когда пригодится не знаешь. Пришлось сделать скриншот, авось… когда-нибудь.

  2. Fujifilm Instax пишет:

    В свое время очень помогла програмка ai-bolit а точнее бесплатные скрипты от ее создателя __findshell.sh – а в целом виртуальный выделенный сервер + winscp и несохраненные в клиенте пароли дают кое-какой профит перед тем же шаред хостингом

  3. Роман пишет:

    Да,знакомая ситуация)))Прямо вендетта какая-то.Спасибо за статью,уясним.

  4. английский язык пишет:

    Да, плохо получилось. Надо бы тоже обновить бекапы, от греха подальше.

  5. Дмитрий пишет:

    У меня недавно был случай с моим сайтом. Когда мне разработали и передали сайт то автоматический бэкап не настроили а я это не умел делать и при очередном обновлении сайта у меня полетела база все товары перепутались и повезло что месяца два назад я нашел как в ручную делать резерв, только в ручную он делался не совсем так как надо он хоть так. Спасибо одному хорошему человеку он восстановил мой сайт почти полностью были мелкие ошибки и часть статей была потеряна но это были уже мелочи. После этого он настроил мне автоматическое создание бэкап за что ему отдельное спасибо.

  6. Вадим пишет:

    Спасибо за статью все отлично рассказано

  7. Павел пишет:

    Интересно) Автор молодец

  8. Наталья пишет:

    Вопрос такой, а зачем людям другим это делать???им заняться не чем что ли…..

  9. Светлана пишет:

    А почему все забыли про созданную по борьбе с преступлениями в сфере информационных технологий подразделение “К”, оно очень успешно борется с таким видом преступлений. Пока все молчат и борются в одиночку, или не борются, а просто живут по принципу “Моя хата скраю…” и дальше такие преступления будут процветать.

  10. admin пишет:

    Чтобы не отвечать каждому – напишу тут-)
    Ломанули именно виртуалку, уязвимость скорее всего была в старой версии PHP, так как сайты работали все на 5.2.

    Бэкапы часто делать было невозможно по нескольким причинам. Во первых это объемы. База данных того же рус-медик.ру и файлы весят больше 20 гб и таких сайтов было около 5 + другие тестовые проекты.

    Создание бэкапов просто вешало виртуалку и все сайты уходили в 502 эррор.

    Сейчас веду переговоры с различными хостинг компаниями и скорее всего буду разбрасывать сайты по разным виртуальным хостингам и VPS – если они еще живы и трафик мне кажется врятли вернется в том объеме пока я все разрулю.

    Еще одно подтверждение тому, что держать все яйа в одной корзине пусть и дешево, но иногда может выйти боком.

  11. anton пишет:

    В чем проблема настроить бэкапы по крону ?
    Тем более для бэкапов OpenVZ есть утилита vzdump.
    Один раз настроил и спишь спокойно.

    seoonly, могу помочь с настройкой, за небольшую плату.

    PS: У меня высоконагруженный сервер и я настроил бэкап по одному VPS контейнеру за ночь. Ночью нагрузки меньше и можно делать бэкапы спокойно.

  12. Артём пишет:

    Охренеть, точно бывают же мудаки, ну это люди просто дебилы, их не назвать по другому. Вместо того, чтобы самому чего-то добиться портят всё другим, гореть им в аду =)

    А я думал, что случилось с семи-миллиоником.

  13. Андрей пишет:

    В любом случае – говнюки… Те кто это сделал, делает или будет делать.

  14. romichek пишет:

    На мой взгляд такой случай один из ста..

  15. Алексей Ершов пишет:

    Обидно, конечно… Но, почему у вас не было настроено автоматическое создание бэкапов? В один скрипт можно было загнать создание бэкапов по всем вашим сайтам и регулярно запускать его на выполнение кроном. Вы серьезно занимаетесь бизнесом в интернете и так несерьезно отнеслись к такому вопросу.
    Я, конечно, верю, что хороших людей больше, чем людей на букву “м”, но это не повод оставлять двери незапертыми, когда уходишь из дома.
    Желаю успешно разгрести возникшие вопросы.

  16. Кирилл пишет:

    Да, плохо получилось.
    Надо бы тоже обновить бекапы, от греха подальше.

  17. Владимир пишет:

    Сочувствую.
    Как говорится есть два типа администраторов: те кто делает бекапы и те кто еще не делает.
    Думал сделать открытую статистику от LI, теперь передумал.
    Ушел делать бекапы =)

  18. max пишет:

    Да ну, глупости. Те, кто могут ломать серваки не занимаются тем что не принесет денег, это логично, по моему. Заработки ведь у всех упали, люди со знаниями поднажали на лом, ломать стали чаще, особенно массово используемые движки. Троян часто портит htacess, может в этом проблема.

  19. Виктор пишет:

    Зачем же говоришь опять что сайты расположены на серверах, а теперь на двух серверах…
    Сам же информацию и раскрываешь :)

  20. wmas пишет:

    Невозможно с полной определенностью сказать, какие атаки являются причиной собственных действий, а какие массового сноса конкурентов. Помню в Рунете была волна, когда очень сильно досили сайты на WordPress, это из недавнего. Понятное дело, появились статейки по закрытию доступа ко всему и вся, через тот же .htaccess. Хотя, как не сложно догадаться, саму проблему досинга это не решает.

    Вообще, от досинга, как таковой, нет защиты… только поверхностные контр-меры. Помню где-то читал случай, что на один домен шел такой досинг, что даже Яндекс запищал, когда на его DNS’ы переправили поток. В общем, реалии таковы, что если есть желание и возможности, то, как по мне, можно снести и сломать что угодно. Другое дело, что под это, бывает, попадают и мелкие сайты, не конкуренты, а так: для себя, на карманные расходы, на существование. Да что там, ломали и фонды с пожертвованиями, от которых зависела жизнь детей, но это уже лирика…

    Лично я, не имея крупных сайтов, но сидя на виртуальном хостинге, за#$@лся с этими нагрузками и лимитами. Вот сейчас веду парочку мелких бложиков на блогспоте, но не исключено, что и их кто-то нагрузит… если захочет, ситуации бывают разными. Иметь же свой сервер могут позволить не все и это ещё та шкатулка Пандоры. Одно то, что бэкапы, как я понял, делались не регулярно, говорит о не самой простой ситуации. А вообще, всё это администрирование это ещё те танцы с бубном.

    Ссорь за много букв, надеюсь ещё выкрутишься. И да, лучше свои проекты не палить, пусть даже это мелочь, но если речь идёт о твоей денежке, это дело стрёмное… как-то так.

SEO блог о поисковой оптимизации и продвижении сайтов
 

SEO блог о поисковой оптимизации и продвижении сайтов
Все права защищены © 2013 SEO блог

Пользовательское соглашение и политика конфиденциальности
SEO блог о поисковой оптимизации и продвижении сайтов