Обращение к клиентам Айхор Хостинг



Расследование, идущее в отношении генерального директора ООО «ТК МАРОСНЕТ» Ивана Лунгова и других сотрудников, по мошенничеству и сговору, основано на искажённых фактах! Все действия команды Айхор осуществлены в рамках операционной деятельности компании на законных основаниях! Готовится иск о клевете и размещении информации, порочащей Честь и Достоинство!

Мы занимаемся составлением и подачей заявлений в МВД, ФСБ, Прокуратуру РФ на пересмотр всех судебных решений и проверку несоблюдения акционерами Устава ООО «ТК МАРОСНЕТ» Также проверке подвергнется факт возбуждения Органами внутренних дел расследования в отношении Ивана Лунгова.

Гарантируем всем нашим клиентам, что с 17 декабря и до момента полного решения возникшей ситуации, при помощи законных и юридически прозрачных процедур, все имеющиеся данные наших клиентов, которые не выходили из-под нашего непосредственного контроля, ДАЖЕ ПРИ НЕОПЛАТЕ будут сохранены, совершённые оплаты зачтены, поданные заявления на возврат средств рассмотрены и удовлетворены. Для возвращения законным владельцам всего оборудования, размещенного в рамках услуги Сolocation, сделаем всё возможное.

Мы организовываем работу на новой площадке и планируем, в скором времени, начать размещение клиентских услуг. Противодействие штатному функционированию ООО «ТК МАРОСНЕТ» и выполнению обязательств, в рамках всех заключенных договоров, вызвало долги и траты. Всё это будет урегулировано, учтено и погашено.

Иван Лунгов, из-за уважения к пострадавшим клиентам, согласен сесть за стол переговоров для решения ситуации в рамках мирового соглашения с намерением скорейшего обеспечения доступа клиентов Айхор к своим данным и услугам, а также обеспечения работы компании в нормальном режиме!

ihor.ru

Новые тарифы VDS SSD на базе процессора Intel Xeon E5-2690v2 3.00GHz (Windows, Linux)



Хотим Вам сообщить приятную новость, от сегодня у нас доступен заказ VDS серверов в новом Дата Центре, который находится в Москве
IP адрес для проверки пинга и маршрутов: 80.76.42.1
  • Для новой линейки тарифов было выбрано оборудование на базе процессоров Intel Xeon E5-2690v2 3.00GHz и серверных SSD дисков Intel D3-S4510
  • Виртуализация KVM дает возможность устанавливать любую ОС, включая Windows и ОС из Вашего собственного образа
  • Оборудование подключено к порту 10Тбит/сек, VDS серверу предоставляется безлимитный канал в 200мбит/сек, с возможностью увеличить до 500мбит/сек
Тарифы и остальную информацию Вы можете найти у нас на сайте или написав по адресу support@time-host.net
Так же действуют скидки при оплате от 3х месяцев

Спасибо за Ваше внимание
С уважением Time-Host
http://time-host.net

Новогодний розыгрыш беспроводных наушников, фитнес-браслета и SSD накопителя



К наступающему Новому году мы проводим розыгрыш SSD накопителя Kingston A400 на 240 гигабайт, беспроводных наушников Xiaomi Redmi AirDots и фитнес-браслета Mi Smart Band 4.

Подписывайтесь vk.com/lite.host
Делайте репост записи vk.com/wall-54441939_2038
Ожидайте розыгрыш 31 декабря.
Розыгрыш будет произведен с помощью приложения vk.com/randstuff среди участников, выполнивших условия розыгрыша.

Вернись! И мы подарим 20% от суммы платежа!



Сезон подарков для клиентов нашего хостинга объявляем открытым! С 23.12.2019 по 31.12.2019 пополните лицевой счет на любую сумму и получите 20% в подарок.

Как принять участие в акции?
  • Пополните лицевой счет.
  • Получите 20% от суммы пополнения на бонусный счет.
  • Потратьте бонусные рубли на любые услуги хостинга.

Важно! Бонусные средства не могут быть обналичены или переведены на другой счет. При оформлении возврата денежных средств бонусы будут отменены.
simplecloud.ru/cpanel/

XMAS sale OVH



  • i7-4790k / 16 / 240 SSD — 2300р
  • i7-4790k / 32 / 240 SSD — 2900р
  • E3-1225v2 / 16 / 3x 2ТБ — 2300р
  • E3-1245v2 / 32 / 3x 2ТБ — 2700р
  • E3-1245v2 / 32 / 2x 480SSD — 2700р
  • E3-1231v3 / 32 / 2x 480SSD — 3100р

Писать тикет тут bill.ovh/billmgr

Финальные скидки уходящего года - выжми максимум из 2019!

Компания DDoS-GUARD, искренне поздравляет Вас с наступающими праздниками и желает прогресса, благополучия и надежных партнеров в новом году!


Мы подготовили для Вас подарок — скидку 50% на услуги:
  • Защита и ускорение веб-сайтов
  • Защищенный хостинг
  • Защищенные VDS
  • Защищенные выделенные серверы
https://ddos-guard.net

Чтобы воспользоваться скидкой, введите промокод NEWYEAR2020DDG на страничке Ваши данные и способ оплаты при оформлении заказа.
Внимание: промокод действителен до 15 января 2020 г.


В сезон новогодних праздников возрастает не только количество легитимного трафика, но и число кибератак. Воспользуйтесь нашей защитой всего за пол цены и забудьте о проблемах с доступностью вашего ресурса на ближайший месяц, квартал или весь 2020 год!

Хотите заказать виртуальный хостинг?



Для Вас мы подготовили предложение, от которого сложно отказаться. Лучше синица в руках, чем журавль в небе? Так держите сразу журавля и ещё синицу в придачу. Скидка 50% на первый месяц использования за промокод — реально? Безусловно! Укажите при заказе нужное слово и мгновенно получите скидку на услугу.
zomro.com/virtual.html

Псс… Промокод можно найти на нашем сайте в разделе акции: zomro.com/stock.html

Хостинг сервис в Польше (Hostzealot)



Приветствуем!
В честь десятилетия нашей компании мы открыли новую локацию на карте предоставления услуг. Десятой площадкой стала Польша после Швеции, Англии, Голландии, США (Чикаго и Эшбурн), Канады и Кипра.
  • Наше оборудование находится в современном центре обработки данных Tier -3 в Варшаве.
  • Крупнейшая инфраструктура центров обработки данных в этой части Европы.Система управления информационной безопасностью в соответствии с PN-ISO / IEC 27001: 2014-12
  • Доступность — 99.9%
  • Стандарты: ISO 9001, ISO / IEC 27001, DCOS-4
  • Безопасность: CCTV, внешняя защита, 7 охранных зон

В новой локации доступны для заказа VPS, выделенные серверы, колокация. Так же можем собрать и установить любую конфигурацию по вашему заказу.

Доступность всех наших локаций, вы можете проверить здесь
lg.hostzealot.com

www.hostzealot.ru/servers

С Рождеством и Новым Годом



С Рождеством и Новым Годом!
Поздравляем Вас с Рождеством и Новым Годом.
Желаем счастья, процветания и достижения поставленных целей.

В честь праздников предлагаем Вам скидку в размере 10% на продление или заказ новой услуги хостинга и VDS.
Воспользоваться скидкой можно с 25.12.2019 по 08.01.2020г. (включительно) по промокоду: newyear-20

Промокод для скидки в 10%
newyear-20
webhost1.ru

DDoS-атака через социальную инженерию



TL;DR Атакующий подменяет source ip на адрес вашего сервера и триггерит автоматические абузы. В результате клиента банят на хостинге за вредоносную активность, которой не было.
Эта статья написана нашим клиентом, который перешёл к нам от крупного хостера после DDoS-атаки и любезно согласился поделиться этой историей.

Расскажу про удивительно коварный способ DDoS-атак, с которым я раньше не сталкивался. Коварство заключается в том, что на сам сервер жертвы не выполняется никакой атаки. Вместо этого, злоумышленник провоцирует срабатывание сторонних систем обнаружения атак, заставляя генерировать совершенно настоящие жалобы (в простонародье «абузы») на ваш сервер.

Со стороны хостера это выглядит так, будто вы занимаетесь вредоносной активностью, хотя на самом деле это неправда. Оказалось, что многие крупные хостинг-провайдеры не готовы глубоко разбираться в причинах проблемы и предпочтут вас просто забанить за нарушение правил.

В статье подробно разбирается этот вид атаки в реальном кейсе.

Хронология событий
Я держал несколько личных проектов на VPS-серверах у одного известного хостера. Однажды мне пришло от него такое письмо:
#9042382: ToS Violation — Malicious Activity
Hello,
We have received a report of malicious activity originating from your server XXXX. We ask that you investigate this matter as soon as you are able. Once you have completed your investigation, kindly reply to this ticket with the answers to the following questions:
Reported-From: abuse-out@checkdomain.de
Category: info
Report-Type: info
Service: different services
Version: 0.1
User-Agent: Checkdomain Express 0.19
Date: Fri, 26 May 2018 19:25:19 +0200
Source-Type: ipv4
Source: my-server-ip-xx-xxx
Port: dif.
Report-ID: dih3cefnp@checkdomain.de
Schema-URL: http://www.blocklist.de/downloads/schema/info_0.1.1.json
Attachment: text/plain

DETAILS ZU DEN ATTACKEN/STÖRUNGEN | DETAILS OF THE ATTACKS
(letzten 60 Tage / max. 100 St.) | (last 60 days / max. 100 hits)
 portflood: syn | | standby.checkdomain.de |
VORHERIGE SPERREN DER IP-NUMMER | BANNED HISTORY OF THIS IP-NUMBER
my-server-ip-xxx-xxx-xxx: this ip-number was never banned before

AUZUG AUS SERVERLOGDATEI | EXCERPT FROM SERVER LOGFILE
tcp 0 0 85.10.207.190:80 my-server-ip-xx-xxx:41667 SYNRECV - 
tcp 0 0 85.10.207.190:80 my-server-ip-xx-xxx:46208 SYNRECV -
tcp 0 0 85.10.207.190:80 my-server-ip-xx-xxx:13000 SYNRECV -
tcp 0 0 85.10.207.190:80 my-server-ip-xx-xxx:39104 SYNRECV -
tcp 0 0 85.10.207.190:80 my-server-ip-xx-xxx:55348 SYNRECV -
tcp 0 0 85.10.207.190:80 my-server-ip-xx-xxx:37266 SYNRECV -
tcp 0 0 85.10.207.190:80 my-server-ip-xx-xxx:60684 SYNRECV -
tcp 0 0 85.10.207.190:80 my-server-ip-xx-xxx:63878 SYNRECV -
tcp 0 0 85.10.207.190:80 my-server-ip-xx-xxx:50445 SYNRECV -
tcp 0 0 85.10.207.190:80 my-server-ip-xx-xxx:56215 SYNRECV -

Где my-server-ip-xx-xxx это IP-адрес сервера.

В нем хостер пересылает мне жалобу, поступившую на его ящик abuse@, и настойчиво просит прекратить вредоносную активность, иначе я буду заблокирован. В приложенном логе виден список TCP-подключений к 80 (HTTP) порту в состоянии SYN RECEIVED. То есть с моего сервера идёт SYN-флуд на чей-то веб-сервер.

Первая мысль — меня взломали и с моего сервера идёт SYN-флуд. В Linux есть ограничения на управление сокетами с правами обычного пользователя и посылать только SYN-пакеты (без установки полноценного TCP-соединения) можно только имея привилегии root. А это значит, что взломали полностью.

В панике бегу на сервер искать вредоносный процесс. Проверяю top, ss, lsof и ничего подозрительного не вижу. Первичный вывод: «ужас, наверное залили настолько крутой руткит, который прячет вирус на уровне ядра от всех системных утилит!». В процессе исследований выясняется, что нагрузка на сервер никак не изменилась, по графикам в панели хостера трафик на интерфейсе остается прежним.

До этого я запускал tcpdump c фильтрами, показывающими исходящий трафик и ничего подозрительного не видел. Отчаявшись, решаю посмотреть весь трафик на сервер. В потоке легитимного трафика нахожу редкие RST-пакеты от странных серверов.

Выглядит это примерно так, где my-server-ip-xx-xxx адрес моего сервера:
IP 85.10.207.190.http > my-server-ip-xx-xxx.8389: Flags [R]
IP 85.10.207.190.http > my-server-ip-xx-xxx.8389: Flags [R]
IP 85.10.207.190.http > my-server-ip-xx-xxx.8389: Flags [R]
IP adsl-070-154.sip.pns.bellsouth.net.http > my-server-ip-xx-xxx.8389: Flags [R]
IP adsl-070-154.sip.pns.bellsouth.net.http > my-server-ip-xx-xxx.8389: Flags [R]
IP adsl-070-154.sip.pns.bellsouth.net.http > my-server-ip-xx-xxx.8389: Flags [R]


Было очевидно, что это аномалия, так как больше никакого обмена с этими серверами не было и почему они шлют пакет закрытия соединения, мне было неясно.
На этом моменте опытные админы сразу бы всё поняли, но мы разберём всё на пальцах

Как это работает
Входящие RST-пакеты это ответы на попытки установить TCP-соединение на закрытый порт. При этом от моего сервера никакого исходящего трафика в сторону серверов, посылающих RST, нет. Это значит, что атакующий подменяет исходящий адрес на мой и генерирует трафик, похожий на DDoS-атаку. Но так как единственное, что может атакующий, это послать исходящий пакет, все ответы от серверов приходят на мой сервер.

Обычно такие атаки используются для DNS-амплификации, когда атакующий посылает маленький запрос от имени жертвы, а жертве приходит большой ответ, которого он не запрашивал. Это классический механизм атак на исчерпание канала.

В моем случае атакующий не ставил целью исчерпать канал сервера-жертвы. Его активность была совершенно незаметна на графиках потребления канала. Главной его целью было спровоцировать системы автоматического уведомления о сетевых атаках, которые пошлют письмо с жалобой на abuse-адрес, указанный в whois подсети моего провайдера. Это умеют делать системы обнаружения и предотвращения вторжений (Intrusive Prevent/Detect System), такие как Snort и Suricata.

В результате хостер получает абсолютно настоящее письмо от легитимных компаний, в котором содержится жалоба на мою вредоносную активность и даже логи в них настоящие. При этом атакующему не нужен большой канал, так как он заранее знает адреса серверов, на которых установлены IDS/IPS-системы и минимально необходимое число пакетов, чтобы сработала автоматическая жалоба.

Единственной трудностью для атакующего является поиск сервера, разрешающего подмену исходящих IP-адресов в пакетах. Все нормальные хостеры блокируют такие пакеты. Существует только два типа хостинга, позволяющего клиентам подменять исходящий IP: либо очень безграмотно настроенный, либо специально созданный для кибер-криминала.

Проверяем возможность подмены IP-адреса
Советую вам проверить своего хостера на возможность подмены исходящего IP. Для этого потребуется два сервера, один для приёма трафика, другой для отправки.

На стороне принимающего сервера запустим логирование входящего трафика. В качестве фильтра укажем редкий порт, на котором в обычное время не должно быть трафика:
tcpdump -i any port 9912

На проверяемом сервере сгенерируем пакет с подменой исходящего IP-адреса на 1.1.1.1, направленный на порт 9912. Для этого используем крутую утилиту nping от разработчиков nmap. Она позволяет генерировать любые нестандартные пакеты на уровне L2 и L3.
nping --tcp -p 9912 -S 1.1.1.1 receiver-server.com

receiver-server.com — адрес слушающего сервера, на котором запущен tcpdump
1.1.1.1 — подменяемый исходящий адрес
9912 — удалённый порт

Если на стороне receiver-server.com вы увидите пакет, пришедший от имени 1.1.1.1, значит ваш провайдер позволяет подменять исходящий IP-адрес. Это повод сообщить ему о проблемах в настройке сетевого оборудования. Зачастую такой проблемой страдают домашние интернет-провайдеры.

Глупая техподдержка
Разобравшись в причинах жалоб, я подробно все изложил хостеру:
Hello,
I finally understand what happened.

They spoof my IP address and DDoS random hosts using my address as source address. So victims generate automatic abuse reports to my hosting providers.

You can see on abuse log that connections are only in SYN_RECV state (no full TCP-connection established) because they can send only one packet using spoofed IP and can't finish TCP-handshake.
I can prove this. There are many TCP RST incoming packets coming right now to my server from hosts whom I never sent any packets.

You can check it right now by running:

tcpdump -i eth0 «tcp[tcpflags] & (tcp-rst) != 0»

You will see that many RST packets came from hosts to which I've never sent any data.
This proves that attacker is spoofing my IP-address to compromise me and generate abuses.
Тогда мне казалось, что любой квалифицированный инженер техподдержки разберётся в ситуации и вопрос будет закрыт. Но вместо этого они требовали от меня проверить сервер антивирусом или полностью переустановить ОС. Пока мы переписывались с техподдержкой, абузы продолжали поступать и через сутки меня забанили.

Было дико обидно, что меня фактически подставили. Эта ситуация показывает, насколько уязвимы люди, которые вместо того, чтобы разбираться, бездумно следуют скриптам. С тех пор я часто привожу этот случай в пример, когда заходит спор о выборе хостинга для важных проектов. К сожалению, многие хостеры просто не могут позволить себе уделять много времени нестандартным случаям мелких клиентов и вас проще забанить, чем разбираться в ваших проблемах.

https://vdsina.ru