Mikhey
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Цитата:| Это было вчера на их форуме, зашёл туда, т.к. мой сайт www.advanta.org перестал работать и почта тоже не отвечала. |
Вчера на их форуме начался такой флейм, собралось куча ресселеров, которые предлагали клиентам усхоста перейти к ним 
2 часа назад получил письмо от Ushost.ru т.к. я тоже являюсь ихним клиентом,
вот это письмо:
Цитата: Господа, многим из вас известно о событиях произошедших в компании ushost.ru. Наши сервера были взломаны три раза в течение одной недели. Кто это сделал и с какой целью мы не знаем. Возможно, одна из крупных хостинг компаний увидела в нашем лице будущего конкурента и таким образом решила убрать нас с рынка. Но это только предположения, мы постараемся выяснить истину.
Наши сервера находятся в компании ev1servers1.net.
Хронология событий:
1 января: сервер 66.98.148.22
1/1/04 3:37:44 PM
Dear Customer,
/var directory is missing from your server. You need to restore the server. When you purchase a restore, the server will be returned to its original state. Any data that you have loaded onto the server since your purchase will be lost. Therefore, you must have a backup of your data prior to ordering the restore. You will be responsible for loading your data back onto the server once the restore has been completed. The prices for restores are located on the EV1Servers members pages under 'server upgrades'. It will be located toward the bottom of the page and is also where you would place your order for the restore.. The amount of time that restore takes depends upon the type of restore ordered and the number or tickets that are ahead of yours.
However current Harddisk will be attached to your server after restore. You can mount it and copy the necessary backups from it. Please note this harddisk will be attached for 48 hours only.
When you order a restore, a trouble ticket will be generated. If you have any special instructions for the technician who will perform the restore or have any special requests, you may do so by leaving notes in the ticket. To leave a note in the ticket, please go to the trouble ticket section of our website, and edit the already open ticket.
Короткий перевод: После атаки хакеров, помимо уничтожения веб сайтов, была удалена системная папка /var. Нам было предложено переустановить всю систему на новый диск. Старый диск присоединить как дополнительный для скачивания всей информации, что мы и сделали. После настройки сервера, и установки всех, ныне существующих patches (заплаток) для Linux и Apache, мы перекачали всю информацию, все веб сайты на новый диск с новой системой. Работоспособность сервера была восстановлена, были восстановлены 99% веб сайтов.
6 января: сервер 66.98.148.22
01/06/04 12:44:50 AM
Attack Method/Violation: UDP attack, outbound
Account #: 0440792
Source IP: 66.98.148.22
Destination IP: 200.225.189.250
Damage: 47551 PPS/21.76 Mbps outbound spike on Network
Solution: Pulled source IP from Network
Additional Notes:
Sample Frame from Capture:
Frame 7 (60 on wire, 60 captured)
Arrival Time: Jan 6, 2004 00:10:58.754576000
Time delta from previous packet: 0.000003000 seconds
Time relative to first packet: 0.000018000 seconds
Frame Number: 7
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II
Destination: 00:e0:52:11:5e:56 (00:e0:52:11:5e:56)
Source: 00:10:dc:ca:26:67 (00:10:dc:ca:26:67)
Type: IP (0x0800)
Trailer: 00000000000000000000000000000000...
Internet Protocol, Src Addr: 66.98.148.22 (66.98.148.22), Dst
Addr: 200.225.189.250 (200.225.189.250)
Mac Address to IP Resolution:
Mac address: 0010.dcca.2667
IP: 66.98.148.22 - pulled
IP: 66.98.148.215
IP: 66.98.149.130
IP: 66.98.149.13
IP: 66.98.148.123
IP: 66.98.148.244
IP: 66.98.149.131
Mac Snapshot:
Date/Time: 2004/01/06 00:19:27
Switch/Port: 66.98.148.246 /2
InPPS: 66374.8125
OutPPS: 50.1875
InMBPS: 32.9877
OutMBPS: 0.0480
MAC: 0010.dcca.2667
3/1000/Second Sample from Capture:
1 2004-01-06 00:10:58.7545 66.98.148.22 ->
200.225.189.250 UDP Source port: 33903 Destination
port: 21646
2 2004-01-06 00:10:58.7545 66.98.148.22 ->
200.225.189.250 UDP Source port: 33903 Destination
1/6/04 6:51:43 AM
Our investigation has found the following scripts in /tmp/... openf**k (*means this has been edited for language purposes*) which shows how to use a hole in apache to gain access and we also found the attack script udp.pl. Both files are owned by nobody.
Короткий перевод: На сервер была произведена UDP attack , серьезных нарушений на сервере не было обнаружено.
Мы проконсультировались со специалистами по безопасности серверов, они нам предоставили перечень необходимых действий для повышения безопасности. Мы их все выполнили. После этого, включили сервера.
7 января: сервер 66.98.176.16
01/07/04 11:03:57 PM
outbound attack from 66.98.176.16 to 143.106.240.130
pulled server IP 66.98.176.16
2 2004-01-06 22:53:24.7524 66.98.176.16 ->
143.106.240.130 UDP Source port: 57679 Destination
port: 33227
3 2004-01-06 22:53:24.7524 66.98.176.16 ->
143.106.240.130 UDP Source port: 57679 Destination
1/6/04 11:20:20 PM
investigating
1/7/04 12:20:28 AM
Somehow the attacker was able to loggin as syslog and
execute /var/temp/*-->milk
to attack the above server; which is the Latin American and Caribbean IP address Regional Registry's server.
Attacker compromised glibc and which made chkrootkit unable to run. Attacker also made the network script defunct so that it will not start eth0 even with ifup eth0.
На этот раз, была уничтожена вся информация на сервере, и восстановлению он не подлежал.
Вывод: против нас работала профессиональная группа хакеров, которая каждый раз использовала новый метод атаки.
Мы конечно могли бы бороться и дальше, но каждое восстановление сервера стоит денег, консультации у специалистов по безопасности то же стоят денег, а у нас их нет даже на оплату серверов. Так же нет никакой гарантии что, атаки не повторятся.
Господа мы закрываем нашу хостинг компанию, оставшиеся два сервера будут работать до 1 февраля.
Если вам необходим пароль для ваших доменов пожалуйста, обратитесь в admin@ushost.ru
UShost Internet Provider Co.
|
Хостер закрывается  Насчет возврата денег ничего не сказано
|
Всего записей: 998 | Зарегистр. 29-07-2003 | Отправлено: 06:17 09-01-2004 | Исправлено: Mikhey, 06:28 09-01-2004 |
|
