Как стать автором
Обновить

Дыра у хостинг провайдера или как получить доступ к удаленному(не активному) аккаунту

Время на прочтение3 мин
Количество просмотров17K
Всего голосов 27: ↑22 и ↓5+17
Комментарии44

Комментарии 44

я конечно не поддерживаю хостера, уязвимость очевидно имеет место быть, но судя по данной истории хостер думает по другой логике:
«то что вас пытаются взломать эта ваша проблема с разработчиками. мы то тут при чем»
Однако подайте в суд на прошлых разработчиков за намеренное добавление шеллов, дыр в созданную ими ПО. это вполне наказуемо. в топку таких разработчиков
Дыра в том, что даже если аккаунт заблокирован, соответственно он не должен функционировать, то к нему все равно можно подключиться по FTP и SSH и выполнить какие то манипуляции. Плюс на неактивном ноде активно работал Cron и слал Wget.
Если ключ от входной двери утерян — надо срочно залить бетоном всю квартиру?

Логичней просто занести квартиру в список пустующих, а при нехватке квартир — сменить дверь.
НЛО прилетело и опубликовало эту надпись здесь
Цены на диски такие, что удалять и использовать освободившееся место — дороже выйдет. Контакт уже 10 лет работает по такой схеме, У него удаление — лишь исключение внешних ссылок. Но по прямой ссылке -удаленные фотки точно доступны. Вроде и удаленное видео — тоже.

Странно, что инстанс не остановили. Но, видимо, писать остановку инстансов — им дороже, чем терпеть лишнюю нагрузку.
А я вот не вижу в этом проблемы. Неоднократно встречал что после ухода, аккаунт еще достаточно длительное время поддерживается в относительно рабочем состоянии. Удобно — ушел, не понравилось — вернулся. Ну или по просрочкам платежей — не на следующий день аккаунт грохают, а постепенно отключают сервисы (или не отключают), предоставляя клиенту своеобразный кредит. Если не раздавать данные от аккаунта кому попало, то никакой проблемы в этом нет. В данном же случае проблема именно в том, что доступ к аккаунту был не пойми у кого.
ну да, с одной стороны, вопрос сколько времени прошло с перехода. И он сам не сменил пароли, и не очистил директорию. С другой, ТС сказал, что заблокировали… но часть функций продолжала работать.
Бетон лить не надо, а сменить личинку замка не мешало бы. Или заставить сдать ключи.
А то выходит так, что бывший постоялец может спокойно прийти обратно в квартиру, и делать там что угодно. В данном случае гадить на головы соседям и кидаться мусором в окна соседних домов.
Да не, ключей от входной двери нету. Зато есть окна, лоджия, мусоропровод, канализация, вентиляционный канал… — хороший червь через любую дырку пролезет, даже через газовую трубу. А уж спящему демону-убийце — можно и в стенку кирпичом постучать.

Так что все, кроме заливки бетоном, малоэффективно. Кто его знает, какой демон там в кладовке спит.
Что то подобное есть у ihor, правда в прошлом году еще заметил и служба поддержки считала нормой, что я после блокировки мог подключиться к vps и сайты работали) у меня из за этого просрочка посточнно была
Провайдер виноват, конечно. Тут без вариантов.
Судя по скринам — у вас не сложились отношения с предыдущим разработчиком, вы ему не оплатили работу (или остаток), а в отместку они прекратили с вами сотрудничество? Что-то вы не договариваете.
Разработчиков было 3. Я тот самый третий. Недоговариваю только то, что предыдущие разрабы взяли деньги (неплохие) и не выполнив около 30% работы слились кинув клиента.
А я на всякий случай решил перенести сайт на новый хост, так как от старого были доступы у предыдущих разрабов (первый вообще оформил хост на себя а не клиента), ну а дольше случилось что случилось.
Самое главное, что у заказчика есть доступ к домену, а остальное, по сути, ерунда…
Как я понял:
— есть два разных человека: владелец сайта и разработчик.
— владелец сайта перенёс сайт к другому хостеру, при этом, думая, что аккаунт у старого хостера отключён (поскольку платить за хостинг, естественно, перестали).
— но все логины-пароли, позволявшие подключиться к учётке по SSH и FTP, действуют, то есть, хостер почему-то не стал отключать аккаунт (и об этом косяке хостера нам и рассказывают).
— этим доступом воспользовался человек, разрабатывавший сайт — он знал пароль, зашёл по SSH и настроил автоматический запрос wget-ом на новый адрес сайта (возможно, таким образом он пытался DoS-ить ресурс в отместку за что-то).
Все верно, сайт был перенесен, и была смена CMS сайта. Ддоса не вышло, хоть и лог файлы плодились на протяжении суток.
НЛО прилетело и опубликовало эту надпись здесь
Запросы через крон к вашему сайту Вы всё так отключили?
Да, крон отключили. Правда аж через 14 часов и кучу лог файлов с ошибками
Интересная статья. Напоминает детектив или приключенческий роман
который раз убеждаюсь что лучше юзать какой нибуть hetzner или aws
В хецнере ребята не менее весёлые: пару раз в выходные наглухо зависала виртуалка (т.е. из их админки ни одним из трёх способов она даже не выключалась, не говоря о перезагрузке). Так они отвечали в середине понедельника что-то в духе «у меня фсё работает, не знаю чё у тебя, дорогой клиент, зависало» (после этого виртуалка и правда оживала, но в итоге решил свалить подальше)
НЛО прилетело и опубликовало эту надпись здесь
В этой истории не увидел вообще ничего особенного. Вместо того, чтобы тратить время на тёрки с техподдержкой — можно было просто ограничить доступ к сайту с конкретного ip и забыть об этом. А лучше настроить что-то вроде fail2ban один раз, чтобы не добавлять ip ручками.
Блокировка ip конечно сразу же была настроена. Но запросы то поступать не перестали. Логи то пишутся по запросам даже с BanIP. Вот и пришлось написать тикет
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Согласен, возможно с рекомендациями перебрал немного. Но суть смены CMS в моем случае была такой, что старый хостинг, как бы странно не звучало, был оформлен не на клиента а на первого разработчика и восстановить доступ он мог по щелчку мышки. Поэтому и сменил хостера и перенес все и вся, а тот аккаунт перестал оплачиваться и был якобы заблокирован.
НЛО прилетело и опубликовало эту надпись здесь
Как раз есть история по поводу зарегистрируйте на Васю он мой друг, а потом Вас пропадает а аккаунт блокируют за спам.
забыли добавить тэг пароль 12345678
что-то какая то травля хостера-регистратора, 2й топик за выходные. 1й тут
Это просто совпадение. Притом это совершенно разные провайдеры.
Допускаю, что и часовые пояса разные:) И совпадение допускаю…

Я правильно понял, что можно иметь бесплатный ssh, с доступом в сеть? Расскажите, где дают такое.

Я однажды у Digital Ocean такое получил. У них панель в тот день как-то глюкнула, так что виртуалка из учётки удалилась, но не выключилась. Правда они после пинка ёё грохнули, вроде как.
Близкое к бесплатному: jino (услуги «50 гиг места» + «ssh доступ» за 46 рублей в месяц) или Aruba Cloud (там за евро уже полноценный VPS)
Помнится мне, у меня аналогичный прикол был с моим сайтом. Я одно время его сбэкапил и поставил заглушку, ибо постоянно были атаки на него и попытки взлома, аккаунт спустя время протух и на балансе было 0 рублей.
Естественно сайт был выключен уже самим хостинг-провайдером и полностью недоступен.

Потому спустя пару месяцев я случайно открываю ссылку на свой сайт и вижу, что он работает о_0.
Заглушка отображается, сайт подает все признаки жизни. Я конечно удивился, зашел в Личный кабинет и обнаружил, что там все выключено и на балансе денег по прежнему нет.

Я немного похалявил, недельку так, потом обратился в ТП и оказалось, что у них относительно недавно была миграция сайтов и вообще изменения в инфраструктуре, потому сайт неожиданно включился. В общем попросил их все же вырубить сайт =) Мне за активность сайта ничего не сделали, даже спасибо сказали.

С тех пор периодично захожу на аккаунт и смотрю состояние.
НЛО прилетело и опубликовало эту надпись здесь
Тут ситуация как раз в том, что это и был VPS. Его отключили за неуплату, но доступ к нему по FTP и SSH все равно был открыт.
Так и не понял в чем собственно дыра. Не удалили аккаунт вовремя, возможно удалят позже. Если вы хотите сделать что-то плохое, это можно сделать и через новый аккаунт.

> Тут ситуация как раз в том, что это и был VPS.

Просмотрел тарифы провайдера, это шаред хостинг. На шареде доступ ограниченный, много чего не выйдет сделать.
Прочитав заголовок статьи сразу и не понял, что под удаленным аккаунтом подразумевается не активный/отключенный аккаунт
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории