Взлом сервера майнерами

В сети обсуждают массовый взлом FirstVDS. Давайте разберёмся, в чём причина такого шума.
Претензия — FirstVDS не обеспечил защиту серверов

Вы должны обеспечить своевременное обновление и защиту серверов клиентов
Компании со своей стороны обеспечивает поддержку работоспособности инфраструктуры. За администрирование конечного VDS, актуальность обновлений и безопасность сервера ответственен администратор VDS — сам клиент. В рамках услуги администрирования и чёткого ТЗ системные администраторы могут провести работы по настройке и усилению безопасности сервера клиента.

Серверы взломала недобросовестная поддержка
У сотрудников саппорта действительно есть SSH-доступ к VDS клиентов. Однако он происходит через закрытый сервер аутентификации, который доступен только во внутренней сети, все запросы жёстко логируются. Мы мониторим логи, чтобы выявлять подозрительные подключения. Подробнее о системе авторизации мы писали тут.

Учитывая репутационные последствия и затраты на обработку подобных тикетов, для компании подобный «бизнес» крайне невыгоден.

Взлом происходит через уязвимости на серверах компании
Основные цели атакующих — рассылка спама и запуск «криптомайнеров». Мы изучили достаточно много кейсов, чтобы утверждать: эксплуатируются локальные уязвимости на стороне конкретного VDS. Кроме того, уязвимости разные.

Цели злоумышленников достигаются путём запуска вредоносного ПО с правами локального пользователя. Если бы эксплуатировались уязвимости на серверах компании, злоумышленники получили бы полный доступ к конечным услугам, что повлекло бы более серьёзные последствия. Нет смысла запускать сервисы в ограниченном окружении пользователя, когда есть root-доступ на сервер.

Чтобы локализовать уязвимый ресурс и отследить атаку, рекомендуем настраивать каждый сайт под отдельным пользователем.

А как же Meltdown/Spectre?
Обновления безопасности ПО проводятся на регулярной основе. Родительские ноды обновлены и защищены от данного типа атак.

Эксплуатация атак meltdown/spectre достаточно трудоёмкая и требует большого количества ручной работы. Масштаб проблемы даёт повод предполагать, что атаки автоматизированы и, вероятнее всего, работает ботнет. Нет смысла эксплуатировать уязвимости чтения памяти, когда пароль пользователя Qwerty123 или CMS обновлялась более 3-х лет назад.

На моём сервере совсем нет сайтов или сайты самописные, без публичных уязвимостей. Как его взломали?
Кроме сайтов, на сервере есть программное обеспечение (например, phpmyadmin, proftpd, httpd), которое каждый день становится объектом исследований в области безопасности. Вероятность появления уязвимости нулевого дня для любого из сервисов каждый день достаточно велика. Поэтому в задачи администратора сервера входит своевременная реакция на подобные инциденты и обновление ПО. В некоторых рассмотренных нами случаях эксплуатировались старые бэкдоры, «заложенные» злоумышленниками заранее. Возможно, даже через сайт, которого уже нет на сервере.

Уязвимое ПО было установлено на мой сервер при покупке? Меня взломали через ПО в ваших шаблонах?
Все программное обеспечение устанавливается на сервер из актуальных репозиториев операционной системы, вероятность эксплуатации таких сервисов крайне мала. Но, как было сказано выше, уязвимости могут появляться каждый день, и задача администратора — следить за актуальностью своих программных компонентов. Сканеры уязвимостей находятся в свободном доступе, и взлом уязвимой системы — вопрос времени и целесообразности. При текущем спросе на криптовалюты второй вопрос отпадает сам собой.

Наша позиция — взлом осуществляется через уязвимости внутри VDS

Кейсы, которые мы уже разобрали и похожие случаи:
  • Отчёт от sucuri о подобных случаях (англ).
  • Мы также зафиксировали ряд взломов через уязвимости веб-сервисов.
  • Часть устаревшего программного обеспечения подвержена достаточно старым типам атак, например, CVE-2015-3306.

Если дело в уязвимостях ПО, почему заражают только клиентов FirstVDS?
Это не так, заражению подвержены клиенты любого провайдера. Однако FirstVDS — крупный хостер (57 435 доменов, по данным Hosting101 за 2017 год — самый популярный в России хостинг виртуальных серверов). И на нашем примере эта проблема особенно хорошо заметна.

К тому же не у каждого крупного хостера есть VDS с виртуализацией OpenVZ.

Мы предоставляем неадминистрируемые VDS, поэтому обычно не знаем, если их взломали. Однако у VDS с виртуализацией OpenVZ общее ядро, поэтому можно отследить всех нарушителей с запрещённым ПО (в том числе майнеров) по возросшей нагрузке на родительский сервер. Среди них будут и намеренные, и взломанные.

Именно майнеров мы можем разделить на намеренных и взломанных — последних выдаёт скрипт phpBWa1dd_ysvh5cdgl5zu7gf4. Намеренных останавливаем сразу и просим удалить запрещённое ПО. Со взломами ситуация неоднозначная, но, так как из-за повышенной нагрузки страдают все клиенты на ноде, не можем оставить её без внимания.

Для начала решили останавливать паразитный процесс, не пришлось бы беспокоить клиентов уведомлениями про взлом. Но у нас нет возможности автоматически закрывать уязвимости на VDS, а без этого сервер будет вновь заражен. На данный момент процедура выглядит так: останавливаем паразитный процесс, уведомляем клиента и рекомендуем закрыть уязвимости. Если клиент не реагирует, уязвимости не закрыты, а сервер заразили уже 4 раза подряд, мы останавливаем VDS.

На виртуализации KVM с уровня родительского сервера не видны процессы конкретного VDS. В этом случае мы не можем отследить взлом. Поэтому блокируем VDS, которые генерируют большое количество паразитного трафика, и разбираемся в причинах индивидуально.

Почему вы не решаете проблему?
В каждой такой ситуации взлома требуется индивидуальное решение. Поэтому в первую очередь мы рекомендуем обратиться к специалистам, занимающимся защитой сайтов. Например, в компанию Revisium. Ни о каком партнёрстве и денежной выгоде тут речи нет. Ещё у них есть бесплатный сканер вирусов и вредоносных скриптов Ai-bolit.

Также мы рекомендуем Virusdie (700 руб. в месяц) — это хороший антивирус и модуль в панели ISPmanager, с которой мы работаем. Плагин позволяет самостоятельно производить неограниченное количество очисток всех сайтов в течение месяца. Подключается в панели ISPmanager в раздел Интеграция → Модули.

Наши специалисты могут вручную произвести проверку и очистку сайтов от вирусов, но она разовая и обходится дороже — 1000 руб. Кроме того, проблема не решается только чисткой вирусов.

Если вы обладаете достаточными навыками администрирования Linux, можно провести проверку самостоятельно. В нашей базе знаний вы найдёте статьи в помощь: Поиск вирусов на сайте, Поиск вирусов с помощью Linux Malware и другие в разделе Безопасность.

Так как чистка не предотвращает повторное заражение, сначала нужно закрыть уязвимости.

Если вас не взломали, всё равно стоит позаботиться о профилактике. Воспользуйтесь рекомендациями по ссылке и статей про защиту Wordpress от брутфорс атак.

Если ваш сервер взломали, и это не связано с описанными уязвимостями — напишите запрос в поддержку, мы заинтересованы разбирать нестандартные кейсы…

24 января в конференц-холле Selectel пройдет пятый OpenStack митап

www.meetup.com/ru-RU/OpenStack-Russia-St-Petersburg/events/246061055/?eventId=246061055

Как написать плагин для Neutron, если реально нужно, Вадим Пономарёв, Селектел
— кратко об архитектуре Neutron
— когда стоит заниматься разработкой своего плагина
— как нужно вести разработку не изменяя код апстрима
— на примере плагина 'foobar' проследим разработку и добавление новых фич, таких как:
— расширение Neutron API собственной функциональностью
— добавление кастомных полей в существующие объекты Neutron
— работа с системными событиями Neutron
— добавление функциональности failover и auto scheduling
— расширение функциональности ML2 плагина Neutron
— подходы к тестированию кода в Neutron

Разработка облачной системы управления географически распределенными ЦОДами, Пётр Федченков, ИТМО
— Цели и задачи проекта Системы Интегрированного Управления (СИУ) множеством географически распределённых ЦОДов с каналами связи между ними
— Инструменты и подходы, применяемые в системе для выполнения задач по предоставлению ВМ, хранилищ, сетевых функций
— Основные технические решения и технологии
— Архитектура платформы, основные компоненты
— Подходы к развертыванию системы
— Текущая стадия разработок
— Планы по развитию проекта и поиск разработчиков

We create more space for your servers!

Over the last couple of weeks and due to the turn of the year, it has been a little bit quiet here in our blog. But this does not mean that we have been idle during that time. Quite the contrary: Thanks to you, our valued customers and the many new customers we convince from our services each day, we are growing at a rapid pace and consequently, we need more space for many new servers.

As a result, our technical team has recently put another room for server racks into operation in our data center in Nuremberg. On the picture below, you can see the false floor. In a first step, the cable trays for the network and power supply connection of the server racks were installed. Following this, we have assembled many new server racks!

contabo.com/?show=data_centers

Экспертное лечение Virusdie — помощь профессионалов для защиты сайтов



Экспертное лечение Virusdie — помощь профессионалов для защиты сайтов
Сервис позволяет владельцам сайтов привлекать специалистов по безопасности при сложных случаях заражения, когда автоматические инструменты не могут устранить проблему. В случае бана ресурса и занесения его в чёрный список, эксперты устранят заражение, проконтролируют снятие блокировки и удаление ресурса из чёрного списка. Услуга представлена в 2 тарифах: на 6 и 12 месяцев. Если в течение оплаченного периода сайт будет повторно заражён, то лечение будет проведено повторно и бесплатно.
www.reg.ru/support/hosting-i-servery/hosting-sajtov/bezopasnost-hostinga/ekspertnoye-lechenie-virusdie-chto-eto-za-usluga

AWS is Investing in Blockchain Through Our Partner Ecosystem



We are excited to announce the AWS Blockchain Partners Portal that supports customers’ integration of blockchain solutions with systems built on Amazon Web Services (AWS).

Visit the AWS Blockchain Partners Portal
aws.amazon.com/ru/partners/blockchain/

AWS provides the broadest and deepest capabilities with the largest global infrastructure for building end-to-end blockchain solutions. We invite you to check out current blockchains and review reference architecture, deployment strategies, and development tools on our new portal page.

We will be launching an AWS Blockchain Competency in 2018, and you can sign up for our Blockchain for AWS Partners mailing list to learn more.

What is Blockchain?
Blockchain is the application of a technology in which a list of records, or blocks, are cryptographically linked to one another via timestamps and other attributes. Blockchains are resistant to data modification since the alteration of one block requires consensus across the recorded chain or ledger.

Blockchain Partner Solutions
The following Blockchain Partner Solutions are available now as one-click deploy: Sawtooth Supply Chain, Sawtooth 1.0, R3 Corda, PokitDok, and Blockapps Strato. Expect to see Samsung SDS, Tibco, Quorum, and Virtusa solutions in 2018 along with reference architecture from our partners.

These products will have native AWS integrations to allow plug-and-play access to our portfolio of services.

If you’re involved in Healthcare and Life Sciences, Financial Services, Supply Chain Management, Security, or Compliance, and would like to innovate with us, we welcome your proposals.
For example, based on feedback from our Healthcare and Life Sciences customers, we are interested in seeing proposals for identity resolution, auto-adjudication, and supply chain integrity applications.

Blockchain on AWS Marketplace
We will continue to drive new blockchain technologies into AWS Marketplace, enabling AWS customers to evolve blockchain standards and accelerate the adoption of enterprise-grade blockchain solutions.

In guiding customers along their journey, AWS will be able to better understand the vital business decisions facing this technology. By listening to customers, we will expand blockchain solutions to support not only today’s operations but also new business models enabled by blockchain.

Next Steps
See the AWS Blockchain Partners Portal, sign up for our mailing list, or email us at blockchainAPN-interest@amazon.com to request help with your blockchain solution and connect with APN Partners that have deep experience within the blockchain domain.

Программно-определяемые сети WAN: планы миграции, доходы рынка

Тема программно-определяемых распределенных сетей (SD-WAN) — довольно неоднозначная, и до сих пор вызывает активные дискуссии среди сетевых специалистов. Это архитектурное решение возникло в ответ на потребность пользователей увеличить эффективность и гибкость WAN-сетей, а также обеспечить интеллектуальное управление трафиком. SD-WAN — это концепция виртуальных распределенных сетей, спроектированных поверх физических подключений, включая корпоративные и публичные соединения. Для таких сетей характерен единый центр управления всей инфраструктурой и мониторингом. SD-WAN сети позволяют объединить несколько каналов связи в один логический канал и интеллектуально распределять трафик в зависимости от типа приложения, например голосовой трафик отправлять по наилучшему пути на основе политик приоритета QoS и безопасности.

По данным IDC, к 2020 году объем мирового рынка инфраструктуры и сервисов SD-WAN превысит 6 млрд долларов, а ежегодный прирост в период с 2015 по 2020 годы составит более 90%! На данный момент IDC выделяет четыре сегмента рынка программно-определяемых WAN. Сегменты соответствуют четырем категориям продуктов, технологий и услуг: инфраструктура WAN (маршрутизаторы/маршрутизация и оптимизация WAN), решения для управления SD-WAN и виртуализации сетевой инфраструктуры (SD-WAN контроллеры, управление политиками, сетевые элементы, мониторинг и аналитика), сервисы SD-WAN, управляемые поставщиком услуг связи (Communications Service Provider — CSP) и облачные службы SD-WAN, которые могут предоставляться производителями оборудования для сетей SD-WAN, поставщиками облачных услуг с доставкой контента по технологии Over-the-Top (OTT) или аутсорсинговыми ИТ-компаниями, выполняющими услуги по управлению сервисами (Managed Service Provider — MSP). Более подробно о динамике роста доходов в каждом из них, а также о планах компаний по миграции из сетей WAN в программно-определяемые аналоги вы узнаете из нашей новой инфографики.

RU-CENTER — аккредитованный регистратор доменов .IO



Уважаемые партнеры!
.IO — модный универсальный домен верхнего уровня для сайтов любой тематики. Зона пользуется популярностью у бизнеса в сфере инноваций и технологий, стартапов и медиа.

Теперь RU-CENTER оказывает услуги регистрации доменных имен .IO в качестве аккредитованного регистратора.

Имена доступны всем желающим — выберите красивый адрес для вашего сайта.
www.nic.ru/catalog/domains/io/

OVH передает вам наилучшие пожелания и устремления на 2018 год


Можно ли ускориться, когда вы думаете, что у вас уже есть нога на полу? Ответ — да. В 2017 году новости OVH были богаты. В успехах, а также в событиях наши команды изучили все уроки, чтобы укрепить основы, на которых развитие нашего облака предлагает бесконечность (международная) и за ее пределами (поскольку инновации не никогда не останавливается). Возможность составить список, не обязательно исчерпывающий, из пяти пожеланий OVH запомнить на 2018 год.

OVH переходит на следующий уровень
«В этом году OVH будет отмечать свои восемнадцать лет, большинство. Вот и все, мы закончили структурирование. И хотя многие вещи уже построены, все продолжает ускоряться, и для меня это только начало. OVH входит в новую фазу жизни. "

Для пятого издания Саммита OVH 17 октября Октава Клаба объявляет о запуске «следующего уровня», чтобы продолжить рост OVH среди мировых лидеров в облаке. Благодаря первому (высокому) разрешению постепенный пересмотр предложения группы, доступный в трех новых юниверсах: OVHcloud (высоко масштабируемые инфраструктуры с высокой критичностью), OVHspirit (высокопроизводительные выделенные серверы с оптимальным соотношением цены и качества) ) и OVHmarket (все хостинг-предложения, доменные имена, электронная почта и телекоммуникации, сгруппированные под одним брендом).

(от редакции наконец-то будет 1 панель hostsuki.pro/news/1-api-and-1-panel-control.html)

1000 талантов (за один раз)
В конце 2016 года Октав Клаба объявил в Twitter, что OVH достигает рубежа в 1500 сотрудников по всему миру. Девять месяцев спустя группа начинает задачу поиска 1000 новых талантов для укрепления своих международных команд и открывает свою платформу для вербовки OVH Careers. Чтобы предоставить себе средства для поиска и удовлетворения своих новых талантов, OVH продолжает расширять свое присутствие (Сингапур, Сидней, Варшава, Франкфурт, Лондон, Бордо, Нант, Tour de Batignolles в Париже) и толкает стены своих помещений в Рубе, в Польше или в Германии.

Кейптаун в США
15 марта OVH набрала свой исполнительный комитет для подразделения OVH в США, а Русс Ридер (ранее GoDaddy) стал генеральным директором. Первый шаг в дорожной карте его завоевания Запада, последовавший за покупкой vCloud Air, облачной активности VMware. Приобретение, которое позволит группе ускорить ее реализацию в Соединенных Штатах, но также (и особенно) приобрести технологию HCX (Hybrid Cloud eXchange). Благодаря этому ресурсу OVH теперь может предлагать миграцию инфраструктур между центрами обработки данных без прерывания обслуживания. Юридическое разделение этой деятельности, запущенной в Соединенных Штатах, является гарантией для остальной группы OVH, а не для того, чтобы быть объектом Закона о патриотизме

Более активно участвовать в защите данных
2018 год также станет годом вступления в силу RGPD (Общее правило по защите данных), что является важным шагом для всех европейских компаний, занимающихся обработкой данных. OVH продвигается в своем контрольном перечне соблюдения, который был отмечен в июле прошлого года эволюцией Общих условий обслуживания Группы и Службы специальных условий. Серия глубоко проанализированных документов, подтверждающих приверженность OVH защите личных данных своих клиентов и формализация некоторых принципов, установленных европейским лидером в облаке: прозрачность в отношении местоположения данных или прежнему отказ от использования субподряда, который подразумевал бы доступ к данным, хранящимся пользователем.

Эти новые CGS основаны на рекомендациях Кодекса поведения поставщиков облачной инфраструктуры в Европе (CISPE), ассоциации европейских игроков в облаках, инициированных OVH. Этот кодекс поведения был также одним из первых, который был выпущен под импульсом RGPD. Его цель — предоставить справочную структуру для применения RGPD для облачных провайдеров и их клиентов, чтобы способствовать появлению европейского цифрового рынка.


Всегда больше Открыто
Среди других обязательств, закрепленных в ДНК OVH, есть свобода компаний делать цифровые выборы. Поскольку будущее ИТ-инфраструктуры находится в облаке, OVH стремится к использованию открытого облака без ограничений, без блокировки, в отличие от внутренней безопасности миссии поставщиков облачных вычислений. Обратимое, совместимое облако, которое предоставляет клиенту закрытые запатентованные среды; Это обещание Open Cloud Foundation, организации, объединяющей цифровых игроков из всех слоев общества (поставщиков, пользователей, исследовательских центров, государственных органов) для защиты открытых решений, против политики выкупа, обнаруженной на рынке. Объявленный Лораном Аллардом на сцене Саммита OVH 2017, Open Cloud Foundation встретился в декабре прошлого года и должен работать до конца первого квартала 2018 года.
OVH верит в ценности Open, до конца строк кода своей клиентской области, чей код был выпущен прошлым летом.

www.ovh.com/fr/blog/ovh-voeux-aspirations-pour-2018/