Спасибо

Спасибо
Спасибо

Всем привет. Как вы знаете мир не без добрых людей, особенно интернет, где все друг другу рады, всегда помогают и поддерживают. Для тех кто не понял это был сарказм.

Предыстория. У меня 2 сервера, один держу у fastvps, другой у … в общем не важно. Первоначально их было 3, но изза сокращения доходов было принято решение перенести все сайты с 3-го на FASTVPSовский и там сделать на OpenVZ виртуальный сервер, где и хранились сайты на PHP 5.2 + экспериментальные проекты + перенесенные сайты.

К слову, в интернете я редко перехожу кому дорогу, если не считать попандер, некоторых инфобизнесменов и тд. по мелочи. Плюс, как и у всех есть завистники и просто те, кому личность моя неприятна) Если вы думаете, что у Вас их нет — то сильно заблуждаетесь.

К чему все это я клоню, да к тому, что только начал показывать народу публично свои проекты ( хотя проекты это громко сказано, скорее полуСДЛ, граничащие с ГС), как началась полная х*ня. То DDOS, то какой-то дЭбил брутил админки, то спам от индусов и тд. Но сейчас пошли совсем другим путем — ломанули целиком сервак. Просто переведу диалог с тех. поддержкой FASTVPS:

______
Здравствуйте!

К сожалению, вынуждены сообщить Вам, что на Ваш сервер 5.9.158.175 поступила жалоба от Датацентра.

Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.

Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).

Обращаем внимание, что в случае отсутствия реакции на жалобу, Ваш сервер может быть заблокирован Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет.

С подробностями жалобы Вы можете ознакомиться ниже.

Return-path:
Envelope-to: abuse@hetzner.de
Delivery-date: Tue, 12 Nov 2013 21:36:45 +0100
Received: from [199.83.49.83] (helo=main.cnservers.com)
by lms.your-server.de with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.74)
(envelope-from )
id 1VgKhY-0004OA-Sn
for abuse@hetzner.de; Tue, 12 Nov 2013 21:36:45 +0100
Received: from root by main.cnservers.com with local (Exim 4.76)
(envelope-from )
id 1VgKgE-0005IY-Qn; Tue, 12 Nov 2013 12:35:22 -0800
To: abuse@hetzner.de
Subject: Network Abuse — DDOS From 5.9.158.175
Cc: abuse@cnservers.com
Message-Id:
From: support@cnservers.com
Date: Tue, 12 Nov 2013 12:35:22 -0800
X-Virus-Scanned: Clear (ClamAV 0.97.8/18102/Tue Nov 12 16:00:26 2013)
X-Spam-Score: 0.5 (/)
Delivered-To: he1-abuse@hetzner.de

Dear Abuse Department,

You received this email because your email is listed on the whois contact information of this IP.

Please be advised, our firewall detected a large DDOS flood, some traffic in this attack were originated from your network.

The IP in your network participated in this attack was 5.9.158.175

The device sending this traffic might be compromised or misused.

Please investigate into this issue and suspend any offensive devices ASAP.

Below are flow samples taken by our routers during a period of the attack, which including timestamp, duration of this sample, protocol, source IP and source port, destination IP and port, number of packets received, number of bytes received and number of the flows received of this sample.

If you have any feedback or question, please feel free to reply this email. We appreciate your effort on this matter.

NTP server owners: Please set rate limit, a lot of ddos attacks are now using NTP servers to reflect.

Time Zone is PST (GMT-8:00)

Date_flow_start Duration Proto Src_IP_Addr:Port Dst_IP_Addr:Port Packets Bytes Flows

2013-11-12 11:07:56.666 6.600 17 5.9.158.175:54269 -> 199.83.50.112:28967 78880 53079680 1

Network Operating Center
CNSERVERS LLC
+1.9713276731
______

К слову такое уже было 1 раз и я все списал на вредоносный скрипт в одном из сайтов на DLE, но как оказалось дело было не в нем. Продолжение событий:

______

Здравствуйте, ///!

Напоминаем, что отсутствие реакции на поступающие жалобы, может послужить причиной для блокировки сервера.
Благодарим за понимание!

C уважением, специалист отдела по работе с клиентами FastVPS Eesti OU
Людмила Рой

К слову, в первый раз разрулить проблему не удалось быстро и ДЦ все-таки блокнул серв на пару часов, сегодня же мой товарищ, который админит сервер не спал и ответил на тикет относительно вовремя. Продолжаем диалог:

К сожалению, вынуждены сообщить Вам, что на Ваш сервер 5.9.158.175 получена жалоба от Датацентра за атаку на внешние ресурсы.

Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.

Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).

Обращаем внимание, что в случае отсутствия реакции на жалобу более 3х часов, Ваш сервер будет заблокирован во избежание блокировки сети Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет.

С подробностями жалобы Вы можете ознакомиться ниже.

Direction OUT
Internal 5.9.158.175
Threshold Packets 100.000 packets/s
Sum 30.067.000 packets/300s (100.223 packets/s), 12 flows/300s (0 flows/s), 0,821 GByte/300s (22 MBit/s)
External 188.241.140.142, 30.059.000 packets/300s (100.196 packets/s), 4 flows/300s (0 flows/s), 0,812 GByte/300s (22 MBit/s)
External 141.8.147.9, 4.000 packets/300s (13 packets/s), 4 flows/300s (0 flows/s), 0,004 GByte/300s (0 MBit/s)
External 198.50.187.97, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 31.181.23.183, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 176.102.219.6, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 46.28.69.184, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)

Далее был предоставлен root пароль специалистам fastvps и был получен ответ:

Дорогой ///!

Был обнаружен троян, с которым мы уже не единожды сталкивались. Троян удалён, ожидаем завершения антивирусной проверки. По результатам которой мы сообщим Вас в этом тикете.

Троян повержен, сервер работает, fastvps зачет : )

Но и не без ложки дегтя. Всем сайтам на виртуалке с суммарным трафиком 15к/уников в сутки пришел п*здец. У некоторых поплыла верстка, у части удалилось меню, у тестового сайта c 7 млн постов пропали записи из блогов. По многим постам вылезает ошибка Can’t create/write to file ‘/tmp/#sql_23a_0.MYI’ (Errcode: 13) и еще куча всяких прелестей + перестали выполняться многие скрипты, в том числе вывод рекламы. Может при удалении трояна задели какие-то файлы, может взломщик похозяйничал — пока ничего не ясно.

Бэкап лежит давнишний и тот не по всем сайтам. Завтра знакомый прогер попробует подправить все это добро, но надежд мало.

Я конечно верю в то, что «случайности случайны» и что DDOS, брут и взлом сервера никак не связаны с тем, что я спалил на всеобщее обозрение сайт. Ведь не даром говорят, что деньги любят тишину, так и с сайтами, лучше разнести все по разным углам и не привлекать к ним избыточного внимания. Абуза поисковикам и фильтр дело поправимое, а вот поправить сайт под DDOSом или взломанный сайт совсем другое дело.

В коммерческое нише это повседневное явление. Вылез сайт по вкусному запросу после апдейта в ТОП — готовься к веселой жизни, так как конкуренция честной бывает очень редко.

Что касается медицинского сайта, то на нем было заработаны сущие копейки, но трафик рос и начал подбираться к 2к уников/сутки, кому-то это видно не понравилось или просто совпадение.

Выводы:
Кругом полно чудаков на букву «м». Даже ваш казалось бы надежный интернет знакомый, который с виду искренне рад вашим успехам, далеко не факт что не закажет взлом ваших сайтов просто из зависти и потом порадуется тому, как вы плачете ему в ICQ или SKYPE, что все пропало.

Возможно, тот кто заказал/взломал сервер сейчас читает этот пост и радуется : ) Дело его и спасибо ему, что добавил еще немного жизненного опыта.

Что касается сайтов — если завтра получится их вернуть в работоспособное состояние — то ОК, не получится — не велика потеря. Если заработанные с мед. сайта деньги выплатят — перед новым годом раздам комментаторам.

Всем хорошего дня!

Понравилась статья? Поделиться с друзьями:
Комментарии: 20
  1. Кирилл

    Да, плохо получилось.
    Надо бы тоже обновить бекапы, от греха подальше.

  2. Владимир

    Сочувствую.
    Как говорится есть два типа администраторов: те кто делает бекапы и те кто еще не делает.
    Думал сделать открытую статистику от LI, теперь передумал.
    Ушел делать бекапы =)

  3. max

    Да ну, глупости. Те, кто могут ломать серваки не занимаются тем что не принесет денег, это логично, по моему. Заработки ведь у всех упали, люди со знаниями поднажали на лом, ломать стали чаще, особенно массово используемые движки. Троян часто портит htacess, может в этом проблема.

  4. Виктор

    Зачем же говоришь опять что сайты расположены на серверах, а теперь на двух серверах…
    Сам же информацию и раскрываешь :)

  5. wmas

    Невозможно с полной определенностью сказать, какие атаки являются причиной собственных действий, а какие массового сноса конкурентов. Помню в Рунете была волна, когда очень сильно досили сайты на WordPress, это из недавнего. Понятное дело, появились статейки по закрытию доступа ко всему и вся, через тот же .htaccess. Хотя, как не сложно догадаться, саму проблему досинга это не решает.

    Вообще, от досинга, как таковой, нет защиты… только поверхностные контр-меры. Помню где-то читал случай, что на один домен шел такой досинг, что даже Яндекс запищал, когда на его DNS’ы переправили поток. В общем, реалии таковы, что если есть желание и возможности, то, как по мне, можно снести и сломать что угодно. Другое дело, что под это, бывает, попадают и мелкие сайты, не конкуренты, а так: для себя, на карманные расходы, на существование. Да что там, ломали и фонды с пожертвованиями, от которых зависела жизнь детей, но это уже лирика…

    Лично я, не имея крупных сайтов, но сидя на виртуальном хостинге, за#$@лся с этими нагрузками и лимитами. Вот сейчас веду парочку мелких бложиков на блогспоте, но не исключено, что и их кто-то нагрузит… если захочет, ситуации бывают разными. Иметь же свой сервер могут позволить не все и это ещё та шкатулка Пандоры. Одно то, что бэкапы, как я понял, делались не регулярно, говорит о не самой простой ситуации. А вообще, всё это администрирование это ещё те танцы с бубном.

    Ссорь за много букв, надеюсь ещё выкрутишься. И да, лучше свои проекты не палить, пусть даже это мелочь, но если речь идёт о твоей денежке, это дело стрёмное… как-то так.

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: