Msbe
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, UShost.ru.
Вы писали 9 января 2004 г., 4:12:55:
Ur> Господа, многим из вас известно о событиях произошедших в
Ur> компании ushost.ru. Наши сервера были взломаны три раза в течение
Ur> одной недели. Кто это сделал и с какой целью мы не знаем.
Ur> Возможно, одна из крупных хостинг компаний увидела в нашем лице
Ur> будущего конкурента и таким образом решила убрать нас с рынка. Но
Ur> это только предположения, мы постараемся выяснить истину.
Ur> Наши сервера находятся в компании ev1servers1.net.
Ur> Хронология событий:
Ur> 1 января: сервер 66.98.148.22
Ur> 1/1/04 3:37:44 PM
Ur> Dear Customer,
Ur> /var directory is missing from your server. You need to
Ur> restore the server. When you purchase a restore, the server will
Ur> be returned to its original state. Any data that you have loaded
Ur> onto the server since your purchase will be lost. Therefore, you
Ur> must have a backup of your data prior to ordering the restore. You
Ur> will be responsible for loading your data back onto the server
Ur> once the restore has been completed. The prices for restores are
Ur> located on the EV1Servers members pages under 'server upgrades'.
Ur> It will be located toward the bottom of the page and is also where
Ur> you would place your order for the restore.. The amount of time
Ur> that restore takes depends upon the type of restore ordered and
Ur> the number or tickets that are ahead of yours.
Ur> However current Harddisk will be attached to your server
Ur> after restore. You can mount it and copy the necessary backups
Ur> from it. Please note this harddisk will be attached for 48 hours
Ur> only.
Ur> When you order a restore, a trouble ticket will be generated.
Ur> If you have any special instructions for the technician who will
Ur> perform the restore or have any special requests, you may do so by
Ur> leaving notes in the ticket. To leave a note in the ticket, please
Ur> go to the trouble ticket section of our website, and edit the
Ur> already open ticket.
Ur> Короткий перевод: После атаки хакеров, помимо уничтожения веб
Ur> сайтов, была удалена системная папка /var. Нам было предложено
Ur> переустановить всю систему на новый диск. Старый диск присоединить
Ur> как дополнительный для скачивания всей информации, что мы и
Ur> сделали. После настройки сервера, и установки всех, ныне
Ur> существующих patches (заплаток) для Linux и Apache, мы перекачали
Ur> всю информацию, все веб сайты на новый диск с новой системой.
Ur> Работоспособность сервера была восстановлена, были восстановлены
Ur> 99% веб сайтов.
Ur> 6 января: сервер 66.98.148.22
Ur> 01/06/04 12:44:50 AM
Ur> Attack Method/Violation: UDP attack, outbound
Ur> Account #: 0440792
Ur> Source IP: 66.98.148.22
Ur> Destination IP: 200.225.189.250
Ur> Damage: 47551 PPS/21.76 Mbps outbound spike on Network
Ur> Solution: Pulled source IP from Network
Ur> Additional Notes:
Ur> Sample Frame from Capture:
Ur> Frame 7 (60 on wire, 60 captured)
Ur> Arrival Time: Jan 6, 2004 00:10:58.754576000
Ur> Time delta from previous packet: 0.000003000 seconds
Ur> Time relative to first packet: 0.000018000 seconds
Ur> Frame Number: 7
Ur> Packet Length: 60 bytes
Ur> Capture Length: 60 bytes
Ur> Ethernet II
Ur> Destination: 00:e0:52:11:5e:56 (00:e0:52:11:5e:56)
Ur> Source: 00:10:dc:ca:26:67 (00:10:dc:ca:26:67)
Ur> Type: IP (0x0800)
Ur> Trailer: 00000000000000000000000000000000...
Ur> Internet Protocol, Src Addr: 66.98.148.22 (66.98.148.22), Dst
Ur> Addr: 200.225.189.250 (200.225.189.250)
Ur> Mac Address to IP Resolution:
Ur> Mac address: 0010.dcca.2667
Ur> IP: 66.98.148.22 - pulled
Ur> IP: 66.98.148.215
Ur> IP: 66.98.149.130
Ur> IP: 66.98.149.13
Ur> IP: 66.98.148.123
Ur> IP: 66.98.148.244
Ur> IP: 66.98.149.131
Ur> Mac Snapshot:
Ur> Date/Time: 2004/01/06 00:19:27
Ur> Switch/Port: 66.98.148.246 /2
Ur> InPPS: 66374.8125
Ur> OutPPS: 50.1875
Ur> InMBPS: 32.9877
Ur> OutMBPS: 0.0480
Ur> MAC: 0010.dcca.2667
Ur> 3/1000/Second Sample from Capture:
Ur> 1 2004-01-06 00:10:58.7545 66.98.148.22 ->
Ur> 200.225.189.250 UDP Source port: 33903 Destination
Ur> port: 21646
Ur> 2 2004-01-06 00:10:58.7545 66.98.148.22 ->
Ur> 200.225.189.250 UDP Source port: 33903 Destination
Ur> 1/6/04 6:51:43 AM
Ur> Our investigation has found the following scripts in /tmp/...
Ur> openf**k (*means this has been edited for language purposes*)
Ur> which shows how to use a hole in apache to gain access and we also
Ur> found the attack script udp.pl. Both files are owned by nobody.
Ur> Короткий перевод: На сервер была произведена UDP attack ,
Ur> серьезных нарушений на сервере не было обнаружено.
Ur> Мы проконсультировались со специалистами по безопасности
Ur> серверов, они нам предоставили перечень необходимых действий для
Ur> повышения безопасности. Мы их все выполнили. После этого, включили
Ur> сервера.
Ur> 7 января: сервер 66.98.176.16
Ur> 01/07/04 11:03:57 PM
Ur> outbound attack from 66.98.176.16 to 143.106.240.130
Ur> pulled server IP 66.98.176.16
Ur> 2 2004-01-06 22:53:24.7524 66.98.176.16 ->
Ur> 143.106.240.130 UDP Source port: 57679 Destination
Ur> port: 33227
Ur> 3 2004-01-06 22:53:24.7524 66.98.176.16 ->
Ur> 143.106.240.130 UDP Source port: 57679 Destination
Ur> 1/6/04 11:20:20 PM
Ur> investigating
Ur> 1/7/04 12:20:28 AM
Ur> Somehow the attacker was able to loggin as syslog and
Ur> execute /var/temp/*-->milk
Ur> to attack the above server; which is the Latin American and
Ur> Caribbean IP address Regional Registry's server.
Ur> Attacker compromised glibc and which made chkrootkit unable
Ur> to run. Attacker also made the network script defunct so that it
Ur> will not start eth0 even with ifup eth0.
Ur> На этот раз, была уничтожена вся информация на сервере, и
Ur> восстановлению он не подлежал.
Ur> Вывод: против нас работала профессиональная группа хакеров,
Ur> которая каждый раз использовала новый метод атаки.
Ur> Мы конечно могли бы бороться и дальше, но каждое
Ur> восстановление сервера стоит денег, консультации у специалистов
Ur> по безопасности то же стоят денег, а у нас их нет даже на оплату
Ur> серверов. Так же нет никакой гарантии что, атаки не повторятся.
Ur> Господа мы закрываем нашу хостинг компанию, оставшиеся два
Ur> сервера будут работать до 1 февраля.
Ur> Если вам необходим пароль для ваших доменов пожалуйста, обратитесь в admin@ushost.ru
Ur> UShost Internet Provider Co.
Ur> [4.0.2 Build 8.1 EZ]
--
С уважением,
os2home mailto:os2home@mail.ru
Они раззорились вот инфа которую мне предоставил клиент ушедший с ushost.ru
Деньги клиентам так и не вернули!
Делаем выводы...... |
Всего записей: 112 | Зарегистр. 11-01-2004 | Отправлено: 00:33 13-01-2004 | Исправлено: Msbe, 00:34 13-01-2004 |
|
