История одной уязвимости

ddos-guard разошлись не на шутку. Сегодня пытались взломать еще один проект... Благо админ вовремя заметил и совершил переезд на новый хостинг.
https://mmgp.ru/showpost.php?p=4262395&postcount=576

Шалунишки, однако, продолжают работать, не покладая рук.

копают себе могилу...

Меня более всего удивляет молчание представителя ddos-guard в этой теме, которую он и создал. Я расцениваю его молчание как косвенное подтверждение выложенным материалам

ddos-guard, внесите ясность, а то я начинаю думать, что ваш хостинг и создавался с целью трусить хайпы.

Представителю некогда отвечать, он хакает сейчас очередной хайп

Ну вот пожалуйста, очередной взлом проекта с защитой ddos-guard...

https://investors-choice.org/
https://mmgp.ru/showthread.php?t=178469

Как можно вычислить его новые творенья?

ddos-guard, как объясните очередной взлом от вашего недосервера? https://mmgp.ru/showthread.php?t=178469&page=47

Тема ddos-guard известна и нужно быть действительно далекими чтоб об этом не знать и вверить судьбу программы в руки хостера ситуация с которым до сих пор не ясна. Так что тут 100% вины администрации программы, даже если взлом имел место.

добавлено через 3 минуты
Pankrat, они тут ничего не объясняют, а молчаливо согласны со всеми обвинениями в свой адрес.

Тогда пора на ddos-guard повесить статус Мошеник

А что, у блокдос тоже есть такая дурная слава?

Сегодня и у нас вывели деньги в неизвестном направлении вот так блин ddos-guard . Потом после обращения к ним почему левые файлы в лого нашли внятного ответа не получили . Но сразу согласились поменять нам пароли от FTP даже без тикета ,Так что думайте что хотите.

Нужно быть деревянными, чтобы так слить деньги ваших вкладчиков. Ваша вина на 100%.

Да и что вы тут теперь делаете то? Оправдываетесь? Раньше нужно было форумом пользоваться.

Инстант - зло, пока это не поймут админы, то их будут хакать хостеры, хакеры, школьники,пенсионеры...

Нет закрываться мы не будем, мы всё же думали головой о деньгах и не хранили все средства на одном счету .Так что как работали так и работаем.Сам факт работы хостинга обескураживает .

Скажите, а планируете после этого случая съезжать на новый хост? Если да, то на какой?

Настало время и повилась возможность прояснить ситуацию и успокоить уважаемое инвестиционное сообщество.

Мы в целом придерживаемся политики давать информацию в которой есть 100% уверенность.

В последнее время действительно фиксировался некоторый статистически значимый рост доступа посторонних лиц к аккаунтам пользователей.

Поиск уязвимости занял несколько недель, взломщик был достаточно осторожен и хитер.
Судя по всему, подобная уязвимость существует на подавляющем большинстве хостингов в мире, поэтому после того как мы её обнаружили и опубликовали отчет, взломы на других хостингах участились.

Технический отчет об уязвимости можно почитать вот здесь:
https://habrahabr.ru/post/174423/
https://trac.roundcube.net/ticket/1489021

Если суммаризировать логи и патчи, в веб-почте была утечка файлов, приводящая к утечке паролей пользователей.


Переходя от части вводной к части практической я хочу ответить на вопросы уважаемого инвестиционного сообщества в форме краткого FAQ, который будет по необходимости дополняться:

Q. Почему вы сразу не сказали?
A. Потому что ответ в стиле "мы не ломаем, а кто ломает пока не знаем" вы не примите

Q. Вы знаете кто ломал?
A. Прямых данных нет, есть косвенные (IP, адреса электронной почты), которые скорее всего не приведут к злоумышленникам. Наиболее вероятно, что действовала группа лиц, предположительно из Европы

Q. Как можно вам доверять после этого?
A. Так же как и любому хостинг-провайдеру, понимая, что мы нашли уязвимость первыми в мире и далеко не обязательно все остальные читают habrahabr

Q. Вы специально придумали оправдание?
A. Нет, мы не скрываем симптомы, мы ищем причину.

Q. Вы уже что-то сделали чтобы обезопасить имеющихся пользователей?
A. Всем пользователям были принудительно изменены пароли FTP еще до публикации поробностей уязвимости. Принудительное изменение паролей баз данных не производилось, так как доступ к базе данных не приведет к выводу денег, но изменение пароля повлечет даунтайм сайта и ненависть клиента. Откройте пожалуйста тикет, если вам необходима смена пароля к БД

Q. Что еще можно сделать чтобы обезопасить себя?
A. Обычно злоумышленники заливали шел непоредственно для вывода и потом удаляли его. Тем не менее гарантии что сайт не содержит шелов дать нельзя, мы настоятельно рекомендуем переустановить скрипты и шаблоны, проверив подозрительные файлы

Q. Будет ли какая-то компенсация пострадавшим?
A. Клиентам, пострадавшим от действий злоумышленников мы дарим месяц премиум-хостинга бесплатно

Q. Имеет ли это отношение к первому сообщению в теме и скрипту GC?
A. Нет, это несвязанные события, за тем лишь исключением, что анализ запросов к GC мы делали из-за участившихся сообщений о взломах и обнаруженная там уязвимость дала нам повод несколько раслабиться

Q. Вы не ответили на мой вопрос, где его лучше задать?
A. Самое лучшее - в тикете, можно в скайпе технической поддержки. Сюда мы будем добавлять ответы на наиболее популярные вопросы.

Update 28-03-13 00:16

Q. Можно ли надеяться что больше нигде ничего нет и что-то подобное не случиться еще раз?
A. Надеяться - не наш метод. В ближайшее время мы введем уведомление по SMS о входе на FTP, планируется двухфакторная авторизация в биллинге. В любом случае, ваша безопасность приоритет для нас.


Прошу обратить внимание, это сообщение создается не с целью поддержания флуда, а для спокойного обсуждения вопросов безопасности. Не стоит ожидать немедленных ответов на посты в стиле "а я всё равно думаю что вы воры!!!!1111одинодин"

Будем наедятся, что больше такого не повторится

Спасибо за вопрос, FAQ дополнен ответом

Хотелось бы уточнить для прояснения ситуации, конкретно по Хайп проектам, данная уязвимость и взломы с уводом денег за последнее время с ней связанные, все это было возможно Только в тех проектах где стоял инстант на вывод по запросу или не спасал бы и ручной вывод ?