Спасибо

Спасибо
Спасибо

Всем привет. Как вы знаете мир не без добрых людей, особенно интернет, где все друг другу рады, всегда помогают и поддерживают. Для тех кто не понял это был сарказм.

Предыстория. У меня 2 сервера, один держу у fastvps, другой у … в общем не важно. Первоначально их было 3, но изза сокращения доходов было принято решение перенести все сайты с 3-го на FASTVPSовский и там сделать на OpenVZ виртуальный сервер, где и хранились сайты на PHP 5.2 + экспериментальные проекты + перенесенные сайты.

К слову, в интернете я редко перехожу кому дорогу, если не считать попандер, некоторых инфобизнесменов и тд. по мелочи. Плюс, как и у всех есть завистники и просто те, кому личность моя неприятна) Если вы думаете, что у Вас их нет — то сильно заблуждаетесь.

К чему все это я клоню, да к тому, что только начал показывать народу публично свои проекты ( хотя проекты это громко сказано, скорее полуСДЛ, граничащие с ГС), как началась полная х*ня. То DDOS, то какой-то дЭбил брутил админки, то спам от индусов и тд. Но сейчас пошли совсем другим путем — ломанули целиком сервак. Просто переведу диалог с тех. поддержкой FASTVPS:

______
Здравствуйте!

К сожалению, вынуждены сообщить Вам, что на Ваш сервер 5.9.158.175 поступила жалоба от Датацентра.

Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.

Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).

Обращаем внимание, что в случае отсутствия реакции на жалобу, Ваш сервер может быть заблокирован Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет.

С подробностями жалобы Вы можете ознакомиться ниже.

Return-path:
Envelope-to: abuse@hetzner.de
Delivery-date: Tue, 12 Nov 2013 21:36:45 +0100
Received: from [199.83.49.83] (helo=main.cnservers.com)
by lms.your-server.de with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.74)
(envelope-from )
id 1VgKhY-0004OA-Sn
for abuse@hetzner.de; Tue, 12 Nov 2013 21:36:45 +0100
Received: from root by main.cnservers.com with local (Exim 4.76)
(envelope-from )
id 1VgKgE-0005IY-Qn; Tue, 12 Nov 2013 12:35:22 -0800
To: abuse@hetzner.de
Subject: Network Abuse — DDOS From 5.9.158.175
Cc: abuse@cnservers.com
Message-Id:
From: support@cnservers.com
Date: Tue, 12 Nov 2013 12:35:22 -0800
X-Virus-Scanned: Clear (ClamAV 0.97.8/18102/Tue Nov 12 16:00:26 2013)
X-Spam-Score: 0.5 (/)
Delivered-To: he1-abuse@hetzner.de

Dear Abuse Department,

You received this email because your email is listed on the whois contact information of this IP.

Please be advised, our firewall detected a large DDOS flood, some traffic in this attack were originated from your network.

The IP in your network participated in this attack was 5.9.158.175

The device sending this traffic might be compromised or misused.

Please investigate into this issue and suspend any offensive devices ASAP.

Below are flow samples taken by our routers during a period of the attack, which including timestamp, duration of this sample, protocol, source IP and source port, destination IP and port, number of packets received, number of bytes received and number of the flows received of this sample.

If you have any feedback or question, please feel free to reply this email. We appreciate your effort on this matter.

NTP server owners: Please set rate limit, a lot of ddos attacks are now using NTP servers to reflect.

Time Zone is PST (GMT-8:00)

Date_flow_start Duration Proto Src_IP_Addr:Port Dst_IP_Addr:Port Packets Bytes Flows

2013-11-12 11:07:56.666 6.600 17 5.9.158.175:54269 -> 199.83.50.112:28967 78880 53079680 1

Network Operating Center
CNSERVERS LLC
+1.9713276731
______

К слову такое уже было 1 раз и я все списал на вредоносный скрипт в одном из сайтов на DLE, но как оказалось дело было не в нем. Продолжение событий:

______

Здравствуйте, ///!

Напоминаем, что отсутствие реакции на поступающие жалобы, может послужить причиной для блокировки сервера.
Благодарим за понимание!

C уважением, специалист отдела по работе с клиентами FastVPS Eesti OU
Людмила Рой

К слову, в первый раз разрулить проблему не удалось быстро и ДЦ все-таки блокнул серв на пару часов, сегодня же мой товарищ, который админит сервер не спал и ответил на тикет относительно вовремя. Продолжаем диалог:

К сожалению, вынуждены сообщить Вам, что на Ваш сервер 5.9.158.175 получена жалоба от Датацентра за атаку на внешние ресурсы.

Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.

Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).

Обращаем внимание, что в случае отсутствия реакции на жалобу более 3х часов, Ваш сервер будет заблокирован во избежание блокировки сети Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет.

С подробностями жалобы Вы можете ознакомиться ниже.

Direction OUT
Internal 5.9.158.175
Threshold Packets 100.000 packets/s
Sum 30.067.000 packets/300s (100.223 packets/s), 12 flows/300s (0 flows/s), 0,821 GByte/300s (22 MBit/s)
External 188.241.140.142, 30.059.000 packets/300s (100.196 packets/s), 4 flows/300s (0 flows/s), 0,812 GByte/300s (22 MBit/s)
External 141.8.147.9, 4.000 packets/300s (13 packets/s), 4 flows/300s (0 flows/s), 0,004 GByte/300s (0 MBit/s)
External 198.50.187.97, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 31.181.23.183, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 176.102.219.6, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 46.28.69.184, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)

Далее был предоставлен root пароль специалистам fastvps и был получен ответ:

Дорогой ///!

Был обнаружен троян, с которым мы уже не единожды сталкивались. Троян удалён, ожидаем завершения антивирусной проверки. По результатам которой мы сообщим Вас в этом тикете.

Троян повержен, сервер работает, fastvps зачет : )

Но и не без ложки дегтя. Всем сайтам на виртуалке с суммарным трафиком 15к/уников в сутки пришел п*здец. У некоторых поплыла верстка, у части удалилось меню, у тестового сайта c 7 млн постов пропали записи из блогов. По многим постам вылезает ошибка Can’t create/write to file ‘/tmp/#sql_23a_0.MYI’ (Errcode: 13) и еще куча всяких прелестей + перестали выполняться многие скрипты, в том числе вывод рекламы. Может при удалении трояна задели какие-то файлы, может взломщик похозяйничал — пока ничего не ясно.

Бэкап лежит давнишний и тот не по всем сайтам. Завтра знакомый прогер попробует подправить все это добро, но надежд мало.

Я конечно верю в то, что «случайности случайны» и что DDOS, брут и взлом сервера никак не связаны с тем, что я спалил на всеобщее обозрение сайт. Ведь не даром говорят, что деньги любят тишину, так и с сайтами, лучше разнести все по разным углам и не привлекать к ним избыточного внимания. Абуза поисковикам и фильтр дело поправимое, а вот поправить сайт под DDOSом или взломанный сайт совсем другое дело.

В коммерческое нише это повседневное явление. Вылез сайт по вкусному запросу после апдейта в ТОП — готовься к веселой жизни, так как конкуренция честной бывает очень редко.

Что касается медицинского сайта, то на нем было заработаны сущие копейки, но трафик рос и начал подбираться к 2к уников/сутки, кому-то это видно не понравилось или просто совпадение.

Выводы:
Кругом полно чудаков на букву «м». Даже ваш казалось бы надежный интернет знакомый, который с виду искренне рад вашим успехам, далеко не факт что не закажет взлом ваших сайтов просто из зависти и потом порадуется тому, как вы плачете ему в ICQ или SKYPE, что все пропало.

Возможно, тот кто заказал/взломал сервер сейчас читает этот пост и радуется : ) Дело его и спасибо ему, что добавил еще немного жизненного опыта.

Что касается сайтов — если завтра получится их вернуть в работоспособное состояние — то ОК, не получится — не велика потеря. Если заработанные с мед. сайта деньги выплатят — перед новым годом раздам комментаторам.

Всем хорошего дня!

Понравилась статья? Поделиться с друзьями:
Комментарии: 20
  1. Perchin

    Статья полезная. Но когда пригодится не знаешь. Пришлось сделать скриншот, авось… когда-нибудь.

  2. Fujifilm Instax

    В свое время очень помогла програмка ai-bolit а точнее бесплатные скрипты от ее создателя __findshell.sh — а в целом виртуальный выделенный сервер + winscp и несохраненные в клиенте пароли дают кое-какой профит перед тем же шаред хостингом

  3. Роман

    Да,знакомая ситуация)))Прямо вендетта какая-то.Спасибо за статью,уясним.

  4. английский язык

    Да, плохо получилось. Надо бы тоже обновить бекапы, от греха подальше.

  5. Дмитрий

    У меня недавно был случай с моим сайтом. Когда мне разработали и передали сайт то автоматический бэкап не настроили а я это не умел делать и при очередном обновлении сайта у меня полетела база все товары перепутались и повезло что месяца два назад я нашел как в ручную делать резерв, только в ручную он делался не совсем так как надо он хоть так. Спасибо одному хорошему человеку он восстановил мой сайт почти полностью были мелкие ошибки и часть статей была потеряна но это были уже мелочи. После этого он настроил мне автоматическое создание бэкап за что ему отдельное спасибо.

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: