Net Форумы

 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Генеральный спонсор: www.Net.Ru - серьезный, профессиональный хостинг.

Претензия
На страницу 1, 2, 3, 4, 5, 6  След.
 
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Net Форумы -> Talk - разговоры
Предыдущая тема :: Следующая тема  
Автор Сообщение
Maxim Levinzon
Guest


Зарегистрирован: 05.06.2007
Сообщения: 2
Откуда: Ekaterinburg

СообщениеДобавлено: 05.06.2007 11:56    Заголовок сообщения: Претензия Ответить с цитатой

На вашем сервере размещен наш сайт www.satur.ru по договору № 00130848 от 29.08.06 г.
28-29 мая 2007 года сайт был выведен из строя вследствие вирусной и/или хакерской атаки. Нами была произведена проверка хоста satur.ru на предмет наличия уязвимостей.
В результате было выявлено, что на хост-сервере 195.161.113.6 (root2.net.incru.net) напрочь отсутствует элементарный Firewall. Открыты все возможные (и невозможные) порты, которые создают огромную дыру для хакеров и вирусных атак. Наружу открыты порты 3306 (MySQL), 137 (NetBios Name Service), 1434 (Microsoft-SQL-Server) и пр., которые как известно являются отличными точками взлома.
В связи с этим, считаем, что ООО «Нет» как хост провайдер не обеспечил необходимый уровень безопасности хоста, что привело к взлому и уничтожению сайта.
Требуем принять меры!!!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AP
Core team


Зарегистрирован: 14.02.2005
Сообщения: 444
Откуда: LostHold

СообщениеДобавлено: 05.06.2007 13:50    Заголовок сообщения: Ответить с цитатой

Максим, давайте не будем ничего придумывать. С безопасностью на сервере все в порядке.

Взломали ваш сайт через скрипты. Насколько я вижу по тем же логам, которые я выложил к вам в домашний каталог - там есть как минимум одно выполнение произвольного кода в той CMS, которую вы используете.

Вместо огульных обвинений я бы порекомендовал действительно разобраться в чем дело. Посмотреть логи, код. Почитать багтраки.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
LORD
Member


Зарегистрирован: 05.06.2007
Сообщения: 15
Откуда: Екатеринбург

СообщениеДобавлено: 05.06.2007 17:56    Заголовок сообщения: Ответить с цитатой

Господа! Я тоже посмотрел! Maxim Levinzon абсолютно прав! При такой картне и ребенок взломает!

Round Trip Time (RTT): <150 ms
Time To Live (TTL): 55
Доменное имя: root2.net.incru.net
TCP порты (13) 21 ftp => File Transfer Protocol 220 ProFTPD 1.2.9 Server (ftp upload server) [localhost]

22 ssh => Remote Login Protocol
25 smtp => Simple Mail Transfer Protocol
53 domain => Domain Name Server
80 http => World Wide Web HTTP HEAD / HTTP\1.0
HTTP/1.0 400 Bad Request
Server: squid/2.5.STABLE13
Mime-Version: 1.0
Date: Fri, 01 Jun 2007 11:11:45 GMT
Content-Type: text/html
Content-Length: 1196
Expires: Fri, 01 Jun 2007 11:11:45 GMT
X-Squid-Error: ERR_INVALID_REQ 0
X-Cache: MISS from root2.net.incru.net
Proxy-Connection: close

110 pop3 => Post Office Protocol - Version 3
143 imap4 => Interactive Mail Access Protocol v4
443 https => Http protocol over TLS/SSL
993 imaps => Imap4 protocol over TLS/SSL
995 pop3s => Pop3 protocol over TLS/SSL
1025 blackjack => Network blackjack
1080 socks => Socks 4/5
3306 mysql => MySQL 8


UDP порты (7) 67 bootps => Bootstrap Protocol Server
123 NTP => Network Time Protocol
137 netbios-ns => NetBios Name Service
138 netbios-dgm => NetBios Datagram Service
161 SNMP => Simple Network Management Protocol
389 ldap => Light Directory Access Protocol
1434 ms-sql-s => Microsoft-SQL-Server


Я считаю то что сайт флудит скриптом не оправдание некомпетентности хост-провайдера! Так сервера не делают!!!

Я думаю что по крайней мере стоит извинится перед Maxim Levinzon!!!

И вообще очень интересно: говорят что сервер Питерский, а он стоит в Москве!!!!

А на счет выполнения произвольного кода: это может быть и запущенная паразитная служба (демон) на сервере, которая перехватывает трафик. Думаю что стоит проверить и другие сайты. Такие проблемы могут повториться!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AP
Core team


Зарегистрирован: 14.02.2005
Сообщения: 444
Откуда: LostHold

СообщениеДобавлено: 06.06.2007 01:20    Заголовок сообщения: Ответить с цитатой

Простите, о какой некомпетентности Вы говорите?
То, что Вы научились пользоваться сканером портов - это похвально, но отнюдь не говорит о вашем профессионализме. Судя по вашему предыдущему посту, вы ничего не поняли ни из отчета сканера, ни из того, о чем я писал. И уж тем более, простите за резкость, ничего не понимаете в информационной безопасности. Ну совсем. И у меня нет желания преподавать вам ее основы.

Проблема именно в скрипте. Сломали через него (Ну причем тут серверное ПО?). Разослали спам через него. Нанесли ущерб нам и нашим клиентам на данном сервере. Тем, что не следите за безопасностью своих скриптов и данными рассылками впрямую нарушаете договор.

Вам привести логи здесь?


Ну честно, я бы постыдился писать подобные вашим посты.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Al-x
Member


Зарегистрирован: 02.06.2005
Сообщения: 33
Откуда: Санкт-Петербург

СообщениеДобавлено: 06.06.2007 01:40    Заголовок сообщения: Ответить с цитатой

LORD писал(а):
Господа! Я тоже посмотрел! Maxim Levinzon абсолютно прав! При такой картне и ребенок взломает!

как? просто интересно. никогда этим не занимался. как?
LORD писал(а):
Я считаю то что сайт флудит скриптом не оправдание некомпетентности хост-провайдера! Так сервера не делают!!!

а как делают? ну как? видимо, у Вас большой опыт в "делании серверов"
LORD писал(а):
Я думаю что по крайней мере стоит извинится перед Maxim Levinzon!!!

сами не желаете извиниться за клевету?
LORD писал(а):
И вообще очень интересно: говорят что сервер Питерский, а он стоит в Москве!!!!

а вот это, я считаю, вообще самое главное. наверное поэтому и порты открыты. наверное, поэтому и спам...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dimcha
Core team


Зарегистрирован: 30.01.2004
Сообщения: 41

СообщениеДобавлено: 06.06.2007 11:11    Заголовок сообщения: Ответить с цитатой

LORD писал(а):
Господа! Я тоже посмотрел! Maxim Levinzon абсолютно прав! При такой картне и ребенок взломает!...


Поразительно! И как это скрипт-киддис до сих пор наш бедненький, незащищенный сервер не завалили???

mr. LORD & Maxim, может быть, Вы вместо того, чтобы сыпать такими, мягко говоря, безосновательными и неумными обвинениями, показали-бы хоть одну детскую/взрослую дыру, через которую можно что-то взломать? Или научили-бы нас, неразумных, серваки правильно админить? Ну, или, хотя-бы, посоветовали, какие порты надо закрыть, чтобы клиентам нашим тихо-спокойно-уютно спалось? Мы любой помощи будем рады, если, это конечно, помощь, а не демагогия...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
LORD
Member


Зарегистрирован: 05.06.2007
Сообщения: 15
Откуда: Екатеринбург

СообщениеДобавлено: 06.06.2007 15:07    Заголовок сообщения: Ответить с цитатой

Господа!

Если тут встает опыт о моей компетентности, то спешу Вас заверить, что моему опыту и опыту моих коллег позавидывали бы многие.

За время работы ни один наш сервер ни разу не взломали, хотя пытались и неоднократно!

По роду своей деятельности я постоянно тестирую серверы и системы и насмотрелся таких вещей, о которых вы и не слышали!

Если вы не знаете как обращаться к портам не выставляя их наружу, мне жаль...

Те доводы которые вы приводите я слышу ежеднево!
О том что "мы все умные" я знаю.

Алгоритмы взлома по портам - самые изветные хакерские алгоритмы.
И выставлять на всеобщее обозрение открытые порты и запущенные демоны - явное нежелание делать работу качественно.

Если на ваш хост еще ниразу не нападали (или атака была не замечена), очень радостно. Однако это не повод для кричать что все классно!

На качественно сделанном сервере должно свистеть минимально необходимое количество протов.

Можете поверить моему опыу: в России стоит уже не один десяток серверов, под нашим брендом. За все время пока мы работаем ни один из них не сбойнул.

Думаю это более чем достаточное подтверждение моей квалификации!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
LORD
Member


Зарегистрирован: 05.06.2007
Сообщения: 15
Откуда: Екатеринбург

СообщениеДобавлено: 06.06.2007 15:11    Заголовок сообщения: Ответить с цитатой

А насчет местонахождения сервера, это прямое невыполнене условий договора, если это типовой договор хостинга (прошу прощения если Ваш договор отличается и там это не прописано!), т.к. обычно прописывается физическое нахождения хоста.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dimcha
Core team


Зарегистрирован: 30.01.2004
Сообщения: 41

СообщениеДобавлено: 06.06.2007 15:57    Заголовок сообщения: Ответить с цитатой

LORD, я кроме Вашего восхваления себя и своего эфемерного бренда не заметил ни слова по теме ((( Если Вы такой профессионал, то скажите - какие порты надо закрыть, а какие демоны убрать? И, что самое важное, укажите объективные причины, по которым мы должны это сделать. Гипотетические хакерские атаки "по всем портам" не в счет. Укажите конкретно - порт, демона, версию ПО, багтрак на уязвимость или хотя-бы гипотетическую низкую секурность.

Расположение серверов в договоре не прописывается.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AP
Core team


Зарегистрирован: 14.02.2005
Сообщения: 444
Откуда: LostHold

СообщениеДобавлено: 06.06.2007 16:11    Заголовок сообщения: Ответить с цитатой

господа
Цитата:
Maxim Levinzon,LORD
!

Вам удалось обнаружить, как именно вас поломали? Я пока не услышал ничего конкретного по этому поводу, что тоже, в итоге, не говорит в вашу пользу. Писать такие обвинения в адрес хостинга, при это не разобравшись при всем своем большом опыте с простой уязвимостью у себя. Совсем не серьезно. Давайте действительно по делу, иначе я просто закрою тему, как не несущую никакой смысловой нагрузки. Это не место для публичного самоудовлетворения.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
LORD
Member


Зарегистрирован: 05.06.2007
Сообщения: 15
Откуда: Екатеринбург

СообщениеДобавлено: 06.06.2007 18:29    Заголовок сообщения: Ответить с цитатой

Абсолютно согласен, уважаемый АР. Я не видел скриптов. Вопрос сейчас касается этой темы только отчести. Я понимаю претензию господина Maxim Levinzon. Он не отридцает того что сайт взломали, может и через скрипты. Он говорит о том что хост провайдер тоже мог бы потрудиться обеспечить необходимый уровень безопасности.

И пото, в ответ на:

Проблема именно в скрипте. Сломали через него (Ну причем тут серверное ПО?). Разослали спам через него. Нанесли ущерб нам и нашим клиентам на данном сервере. Тем, что не следите за безопасностью своих скриптов и данными рассылками впрямую нарушаете договор.

Если взломали satur.ru то они получили доступ только к каталогам и файлам satur.ru. Каким образом остальные пользователи могли пострадать если поднят виртуальный хостинг?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ser_ru
Member


Зарегистрирован: 06.06.2007
Сообщения: 17
Откуда: Екатеринбург

СообщениеДобавлено: 06.06.2007 18:50    Заголовок сообщения: Ответить с цитатой

Господа, можно и я включюсь в ваш разговор.
Насколько мне известно по моему "очень маленкому опыту общения с OS семейства UNIX ", при установке сервера для хост провайдера, на нем обычно не размещают :
1- squid/2.5.STABLE13 ;
2- Samba 138 netbios-dgm => NetBios Datagram Service
161 SNMP => Simple Network Management Protocol ;
3 - И тем более 1434 ms-sql-s => Microsoft-SQL-Server;
Я понимаю, что вы экономите на серверах, но обычно такие вещи разносят на разные сервера.
С какой целью база MYSQL свистит на внешнем интерфейсе ?
И если взлом был произведен через скрипт, то хотелось бы увидить сам скрипт ( до взлома ) и логи доступа по всем открытым портам во время взлома!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
LORD
Member


Зарегистрирован: 05.06.2007
Сообщения: 15
Откуда: Екатеринбург

СообщениеДобавлено: 06.06.2007 19:21    Заголовок сообщения: Ответить с цитатой

Ребят, все понимаю, но зачем выкладывать все логины на сайте???

http://rich.www.net.ru/support/manual/settings#postoffice

Игра "Угадай пароль"!!!

Подбор по словарю или тупой перебор!!! А также зная логин можно натравить снифер по порту!
И ловите ВСЕ!!!!

И это "На сайте обеспечена безопасность"????

Господа! Если хорохоритесь и спорите, то будьте добры хотя бы иногда прислушиваться к собеседнику.
ВЫ НЕ ОДНИ ЗДЕСЬ УМНЫЕ!!! И УЖ ТОЧНО НЕ САМЫЕ УМНЫЕ!!!

(Я, кстати, на самого умного не претендую! Знаю кучу народа умнее! )

P.S. А господин ser_ru вообще один из лучших админов! Его точно половина провайдеров знает!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AP
Core team


Зарегистрирован: 14.02.2005
Сообщения: 444
Откуда: LostHold

СообщениеДобавлено: 06.06.2007 21:56    Заголовок сообщения: Ответить с цитатой

Господа.

Во-первых. Соблюдайте правила сетевого этикета. Надеюсь, мне не надо напоминать, какие? Или надо?

Во-вторых.
В качестве домашнего задания. Вы все живете в одном городе, а даже если б и не, это не стало бы для вас преградой. Разберите скрипты и логи и найдите источник проблемы. Полагаю, что для таких умных людей это не станет проблемой, верно?

А то, подводя итог, мы имеем взломанный через скрипты сайт и кучу ваших голословных и нелепых мыслей о защищенности хостинга. После этого я постараюсь ответить на ваши вопросы, если они у вас останутся. А пока, пожалуйста, прекратите банальный флуд, которым вы занимаетесь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
LORD
Member


Зарегистрирован: 05.06.2007
Сообщения: 15
Откуда: Екатеринбург

СообщениеДобавлено: 06.06.2007 23:02    Заголовок сообщения: Ответить с цитатой

Уважаемые господа!

Я думаю тот объем информации и доводов, которые привели мы с ser_ru, более чем достаточен для подтверждения вышеуказанных утверждений и тезисов.

Я и господин ser_ru, по-моему, более чем обстоятельно доказали свои доводы на примерах. Вы же так и не привели ни одного довода в свою защиту кроме "мы так думаем и значит так правильно!".

Думаю "нелепо" утверждать что сервер настроен правильно. Судя по набору сервисов складываеся впечатление, что этот же сервак используется как офисный файл- и прокси-сервер. Кроме того на нем крутится какая-то windows-кая база. Ни думаю что это можно назвать "удачной настройкой"!

Если же любое несогласие с вашей политикой расценивается как флуд, чтож оставайтесь при своем мнении.

Бесплатно вас никто учить не собирается!

А на счет логов, и впрямь было бы интересно взглянуть в момент взлома по всем портам. У Вас они должна быть такая информация. Если Вас не затруднит, киньте куда-нибудь! А то мы уже столько про них слышали, но так и не увидели!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Net Форумы -> Talk - разговоры Часовой пояс: GMT + 3
На страницу 1, 2, 3, 4, 5, 6  След.
Страница 1 из 6

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB
Русская поддержка phpBB