Спасибо

Спасибо
Спасибо

Всем привет. Как вы знаете мир не без добрых людей, особенно интернет, где все друг другу рады, всегда помогают и поддерживают. Для тех кто не понял это был сарказм.

Предыстория. У меня 2 сервера, один держу у fastvps, другой у … в общем не важно. Первоначально их было 3, но изза сокращения доходов было принято решение перенести все сайты с 3-го на FASTVPSовский и там сделать на OpenVZ виртуальный сервер, где и хранились сайты на PHP 5.2 + экспериментальные проекты + перенесенные сайты.

К слову, в интернете я редко перехожу кому дорогу, если не считать попандер, некоторых инфобизнесменов и тд. по мелочи. Плюс, как и у всех есть завистники и просто те, кому личность моя неприятна) Если вы думаете, что у Вас их нет — то сильно заблуждаетесь.

К чему все это я клоню, да к тому, что только начал показывать народу публично свои проекты ( хотя проекты это громко сказано, скорее полуСДЛ, граничащие с ГС), как началась полная х*ня. То DDOS, то какой-то дЭбил брутил админки, то спам от индусов и тд. Но сейчас пошли совсем другим путем — ломанули целиком сервак. Просто переведу диалог с тех. поддержкой FASTVPS:

______
Здравствуйте!

К сожалению, вынуждены сообщить Вам, что на Ваш сервер 5.9.158.175 поступила жалоба от Датацентра.

Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.

Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).

Обращаем внимание, что в случае отсутствия реакции на жалобу, Ваш сервер может быть заблокирован Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет.

С подробностями жалобы Вы можете ознакомиться ниже.

Return-path:
Envelope-to: abuse@hetzner.de
Delivery-date: Tue, 12 Nov 2013 21:36:45 +0100
Received: from [199.83.49.83] (helo=main.cnservers.com)
by lms.your-server.de with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.74)
(envelope-from )
id 1VgKhY-0004OA-Sn
for abuse@hetzner.de; Tue, 12 Nov 2013 21:36:45 +0100
Received: from root by main.cnservers.com with local (Exim 4.76)
(envelope-from )
id 1VgKgE-0005IY-Qn; Tue, 12 Nov 2013 12:35:22 -0800
To: abuse@hetzner.de
Subject: Network Abuse — DDOS From 5.9.158.175
Cc: abuse@cnservers.com
Message-Id:
From: support@cnservers.com
Date: Tue, 12 Nov 2013 12:35:22 -0800
X-Virus-Scanned: Clear (ClamAV 0.97.8/18102/Tue Nov 12 16:00:26 2013)
X-Spam-Score: 0.5 (/)
Delivered-To: he1-abuse@hetzner.de

Dear Abuse Department,

You received this email because your email is listed on the whois contact information of this IP.

Please be advised, our firewall detected a large DDOS flood, some traffic in this attack were originated from your network.

The IP in your network participated in this attack was 5.9.158.175

The device sending this traffic might be compromised or misused.

Please investigate into this issue and suspend any offensive devices ASAP.

Below are flow samples taken by our routers during a period of the attack, which including timestamp, duration of this sample, protocol, source IP and source port, destination IP and port, number of packets received, number of bytes received and number of the flows received of this sample.

If you have any feedback or question, please feel free to reply this email. We appreciate your effort on this matter.

NTP server owners: Please set rate limit, a lot of ddos attacks are now using NTP servers to reflect.

Time Zone is PST (GMT-8:00)

Date_flow_start Duration Proto Src_IP_Addr:Port Dst_IP_Addr:Port Packets Bytes Flows

2013-11-12 11:07:56.666 6.600 17 5.9.158.175:54269 -> 199.83.50.112:28967 78880 53079680 1

Network Operating Center
CNSERVERS LLC
+1.9713276731
______

К слову такое уже было 1 раз и я все списал на вредоносный скрипт в одном из сайтов на DLE, но как оказалось дело было не в нем. Продолжение событий:

______

Здравствуйте, ///!

Напоминаем, что отсутствие реакции на поступающие жалобы, может послужить причиной для блокировки сервера.
Благодарим за понимание!

C уважением, специалист отдела по работе с клиентами FastVPS Eesti OU
Людмила Рой

К слову, в первый раз разрулить проблему не удалось быстро и ДЦ все-таки блокнул серв на пару часов, сегодня же мой товарищ, который админит сервер не спал и ответил на тикет относительно вовремя. Продолжаем диалог:

К сожалению, вынуждены сообщить Вам, что на Ваш сервер 5.9.158.175 получена жалоба от Датацентра за атаку на внешние ресурсы.

Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.

Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).

Обращаем внимание, что в случае отсутствия реакции на жалобу более 3х часов, Ваш сервер будет заблокирован во избежание блокировки сети Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет.

С подробностями жалобы Вы можете ознакомиться ниже.

Direction OUT
Internal 5.9.158.175
Threshold Packets 100.000 packets/s
Sum 30.067.000 packets/300s (100.223 packets/s), 12 flows/300s (0 flows/s), 0,821 GByte/300s (22 MBit/s)
External 188.241.140.142, 30.059.000 packets/300s (100.196 packets/s), 4 flows/300s (0 flows/s), 0,812 GByte/300s (22 MBit/s)
External 141.8.147.9, 4.000 packets/300s (13 packets/s), 4 flows/300s (0 flows/s), 0,004 GByte/300s (0 MBit/s)
External 198.50.187.97, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 31.181.23.183, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 176.102.219.6, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 46.28.69.184, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)

Далее был предоставлен root пароль специалистам fastvps и был получен ответ:

Дорогой ///!

Был обнаружен троян, с которым мы уже не единожды сталкивались. Троян удалён, ожидаем завершения антивирусной проверки. По результатам которой мы сообщим Вас в этом тикете.

Троян повержен, сервер работает, fastvps зачет : )

Но и не без ложки дегтя. Всем сайтам на виртуалке с суммарным трафиком 15к/уников в сутки пришел п*здец. У некоторых поплыла верстка, у части удалилось меню, у тестового сайта c 7 млн постов пропали записи из блогов. По многим постам вылезает ошибка Can’t create/write to file ‘/tmp/#sql_23a_0.MYI’ (Errcode: 13) и еще куча всяких прелестей + перестали выполняться многие скрипты, в том числе вывод рекламы. Может при удалении трояна задели какие-то файлы, может взломщик похозяйничал — пока ничего не ясно.

Бэкап лежит давнишний и тот не по всем сайтам. Завтра знакомый прогер попробует подправить все это добро, но надежд мало.

Я конечно верю в то, что «случайности случайны» и что DDOS, брут и взлом сервера никак не связаны с тем, что я спалил на всеобщее обозрение сайт. Ведь не даром говорят, что деньги любят тишину, так и с сайтами, лучше разнести все по разным углам и не привлекать к ним избыточного внимания. Абуза поисковикам и фильтр дело поправимое, а вот поправить сайт под DDOSом или взломанный сайт совсем другое дело.

В коммерческое нише это повседневное явление. Вылез сайт по вкусному запросу после апдейта в ТОП — готовься к веселой жизни, так как конкуренция честной бывает очень редко.

Что касается медицинского сайта, то на нем было заработаны сущие копейки, но трафик рос и начал подбираться к 2к уников/сутки, кому-то это видно не понравилось или просто совпадение.

Выводы:
Кругом полно чудаков на букву «м». Даже ваш казалось бы надежный интернет знакомый, который с виду искренне рад вашим успехам, далеко не факт что не закажет взлом ваших сайтов просто из зависти и потом порадуется тому, как вы плачете ему в ICQ или SKYPE, что все пропало.

Возможно, тот кто заказал/взломал сервер сейчас читает этот пост и радуется : ) Дело его и спасибо ему, что добавил еще немного жизненного опыта.

Что касается сайтов — если завтра получится их вернуть в работоспособное состояние — то ОК, не получится — не велика потеря. Если заработанные с мед. сайта деньги выплатят — перед новым годом раздам комментаторам.

Всем хорошего дня!

Понравилась статья? Поделиться с друзьями:
Комментарии: 20
  1. Вадим

    Спасибо за статью все отлично рассказано

  2. Павел

    Интересно) Автор молодец

  3. Наталья

    Вопрос такой, а зачем людям другим это делать???им заняться не чем что ли…..

  4. Светлана

    А почему все забыли про созданную по борьбе с преступлениями в сфере информационных технологий подразделение «К», оно очень успешно борется с таким видом преступлений. Пока все молчат и борются в одиночку, или не борются, а просто живут по принципу «Моя хата скраю…» и дальше такие преступления будут процветать.

  5. admin (автор)

    Чтобы не отвечать каждому — напишу тут-)
    Ломанули именно виртуалку, уязвимость скорее всего была в старой версии PHP, так как сайты работали все на 5.2.

    Бэкапы часто делать было невозможно по нескольким причинам. Во первых это объемы. База данных того же рус-медик.ру и файлы весят больше 20 гб и таких сайтов было около 5 + другие тестовые проекты.

    Создание бэкапов просто вешало виртуалку и все сайты уходили в 502 эррор.

    Сейчас веду переговоры с различными хостинг компаниями и скорее всего буду разбрасывать сайты по разным виртуальным хостингам и VPS — если они еще живы и трафик мне кажется врятли вернется в том объеме пока я все разрулю.

    Еще одно подтверждение тому, что держать все яйа в одной корзине пусть и дешево, но иногда может выйти боком.

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: