Skocz do zawartości
Dariusz Cieślak

Krytyczna luka w HyperVM - zaatakowany Vaserve

Polecane posty

Właśne zauważyłem, że wynajmowany VPS w Vaserve.co.uk przestał wpuszczać mnie po SSH (dostaję "Connection closed by"). Maszyna wirtualna zachowała swój klucz, ale nie rozpoznaje już klucza "gospodarza". Oznacza to poważne kłopoty na hoście.

 

Jak znalazłem wszystkie marki VaServe zostały zaatakowane (cheapvps, a2b2 i fsckvps). Podejrzenia padają na świeże dziury w oprogramowaniu HyperVM.

 

UPDATE: cytat z WHT:

We will be placing details on vaserv.com and (http://66.71.245.2/~vaservc/) if DNS hasn't updated.

At approx 7pm GMT VASERV HyperVM was hacked and it appears that all nodes have some level of damage. We are currently working on the situation and will be putting updates here. Currently we have no ETA on this

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Potwierdzam informację o błędach. LxLabs rozesłało informację do klientów wczoraj z żądaniem niezwłocznej aktualizacji wszystkich instancji HyperVM i LxAdmin. Na szczęście nasze serwery nie zostały zaatakowane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mało powiedziane - wygląda to tragicznie. Z informacji VAServ wynika, że niestety zdecydowana większość maszyn jest uszkodzona (fsckvps strasznie oberwał, cheapvps niewiele lepiej) - a ciągle sprawdzają kolejne. Nie wiem jakim cudem ale "mój" is still alive ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Podjęliśmy decyzję o zablokowaniu panelu. Kloxo wycofujemy tymczasowo z oferty, na dniach przechodzimy na nasz autorski panel (akurat się dobrze złożyło, że kończymy go pisać).

 

Poniżej treść mailingu do naszych klientów:

 

"Informujemy, że w związku z wykryciem wielu poważnych luk bezpieczeństwa w systemie HyperVM postanowiliśmy podjąć decyzje o zablokowaniu dostępu do tego panelu dla naszych klientów. Zlecenia dotyczące wszystkich operacji dostępnych dotychczas w panelu HyperVM będą realizowane przez naszych administratorów na podstawie zgłoszeń otwieranych w systemie billingowym (WHMCS, https://ssl.hitme.net.pl/billing).

 

Decyzja została podjęta w związku z wykorzystaniem wspomnianych luk na serwerach kilku zagranicznych firm hostingowych, co spowodowało ich całkowite unieruchomienie (włącznie z serwerami klientów). Uznaliśmy, iż bezpieczeństwo Państwa danych oraz infrastruktury naszej farmy serwerowej jest ważniejsze niż ryzykowanie dalszego użytkowania panelu HyperVM.

 

W ciągu ostatnich kilku miesięcy trwały intensywne prace nad uruchomieniem nasszego autorskiego panelu, są one obecnie na końcowym etapie. Postaramy się do końca bierzącego tygodnia uruchomić dla Państwa nowy panel.

 

 

 

Sytuacja jest obecnie pod kontrolą, nie ma żadnego zagrożenia dla Państwa danych. Przepraszamy za wprowadzone utrudnienia, jednak prosimy mieć na uwadze, że zostały one wprowadzone wyłącznie dla Państwa bezpieczeństwa."

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Właśnie dzisiaj rano też czytałem. Teraz jeszcze kwestia tego jak długo serwery licencji HyperVM będą pracowały... Mam nadzieję, że wystarczająco długo żeby zrobić migrację.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zawsze mi się ta aplikacja nie podobała i nie używaliśmy jej, ale nie myślałem, że aż tak dziurawa była. Wygląda na pisaną przez kogoś kto nie ma wyobraźni i generalnie mu wisiało bezpieczeństwo.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Szczerze mówiąc ja osobiście popadłem w lekką zadumę jak się dowiedziałem

 

o samobójstwie autora HyperVM.

 

Fakt faktem, że oprogramowanie było dziurawe jak ser szwajcarski,

 

nie mniej jednak to się wszystko by dało wyprostować.

 

Nie jeden produkt na rynku, w tym i te uwielbiane przez masy,

 

posiada historię bugów krytycznych na kilka stron.

 

Nie jedna firma przez to ucierpiała i nie jedna utraciła dane opatrzone klauzulą poufności.

 

Szkoda, jedna wielka szkoda... :)

 

Zawsze mi się ta aplikacja nie podobała i nie używaliśmy jej, ale nie myślałem, że aż tak dziurawa była. Wygląda na pisaną przez kogoś kto nie ma wyobraźni i generalnie mu wisiało bezpieczeństwo.

 

Stawiam 3litrową butle Jacka, że Ty sam byś nawet nie wiedział jak ten temat ugryźć

 

 

jeszcze na etapie projektu...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ciekawe co zrobi grono firm hostingowych z PL korzystających z tego wynalazku do obsługi usług VPS :) Czy rynek VPS w Polsce nagle się skurczy? :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Stawiam 3litrową butle Jacka, że Ty sam byś nawet nie wiedział jak ten temat ugryźć

 

jeszcze na etapie projektu...

 

Akurat się mylisz - ale to dlatego, że mnie nie znasz wiec masz do tego prawo.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

sa inne rozwiazania ktore bedzie mozna zastosowac zamiast tego panelu. pojawi sie vpsCP, taka nowa rodzima produkcja;-)

;P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Ciekawe co zrobi grono firm hostingowych z PL korzystających z tego wynalazku do obsługi usług VPS :) Czy rynek VPS w Polsce nagle się skurczy? :)

 

VPSy podrożeją (autorskie rozwiązania, lub po prostu droższe).

My już mamy koncepcje migracji w sumie.

Generalnie nie zapowiada się na update HyperVM. Przykra sprawa ...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

bellerofont: wydaje mi się, że główną przyczyną samobójstwa nie były dziury w oprogramowaniu.

 

 

Brak podobnego projektu na które takowe firmy mogą przejść ...

Nie mówiąc o virtuozzo, którego cena dyskwalifikuje migracje, jakiś budżetowych rozwiązań.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Ciekawe co zrobi grono firm hostingowych z PL korzystających z tego wynalazku do obsługi usług VPS :) Czy rynek VPS w Polsce nagle się skurczy? :)

 

Właśnie.

 

Ktoś widzi jakieś optymistyczne rozwiązanie ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@prohost: NC

 

@patrys: nieszczęśliwy zbieg zdarzeń, dużo złego go w życiu spotkało,

 

a na koniec taki fackup, trochę za dużo tego jak na głowę jednego samotnego informatyka...

 

 

 

Inna sprawa tak się zastanawiam, jakim to trzeba być kretynem, aby wykorzystując 0day lukę

 

wykasować zawartość kilkudziesięciu serwerów. Takich script kiddies powinno się wieszać.

 

 

 

Przy okazji cały ten incydent ostatecznie przypieczętował tezę, że ludzka głupota nie zna granic.

 

Wszystkie oferty VAServ w wersji unmanaged nie były oficjalnie objętę backupem.

 

Teraz się okazało, że na tych VPSach, które wyparowały był ogrom firm... projektowych, hositngowych itp.

 

które nie robiły kopii zapasowych. Totalna masakra.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Ciekawe co zrobi grono firm hostingowych z PL korzystających z tego wynalazku do obsługi usług VPS smile.gif Czy rynek VPS w Polsce nagle się skurczy? biggrin.gif

 

 

Nie samym HyperVM-em człowiek żyje :-)

 

Pozdr.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Rynek próżni nie lubi.

 

Dokładnie, w ciągu najbliższych kilku dni z pewnością spotkamy się z jakimś odzewem,

 

nie sądzę natomiast, abyśmy mieli szansę na jakąś sensowną altternatywę

 

dla HyperVM pod względem ceny.

 

Wydaje mi się, że los niektórych firm oferujących VPSy może być przesądzony.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

My zamierzamy w ciągu 24 godzin rozpocząć migrację pierwszych klientów na nasz autorski panel.

 

Rynek próżni nie lubi, to prawda, tylko pytanie czy rynek nadal będzie ufał tanim budgetowym produkcjom. Uważam, że to powinno w końcu nauczyć nas, że to co tanie nie zawsze jest dobre, raczej przeciwnie. Nawet jeśli jest opisane 5layerowym systemem bezpieczeństwa.

 

Programiści i specjaliści DS zabezpieczeń niestety (dla nas) i stety (dla nich) kosztują.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
(...)tylko pytanie czy rynek nadal będzie ufał tanim budgetowym produkcjom. Uważam, że to powinno w końcu nauczyć nas, że to co tanie nie zawsze jest dobre, raczej przeciwnie. Nawet jeśli jest opisane 5layerowym systemem bezpieczeństwa.

powiedział Prezes budgetvps.pl :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

i już się czepiasz :-)

 

Pisałem o oprogramowaniu. Sprzedaż usługi masowej, bez supportu z minimalnym narzutem, zachowując jakość (usługi) jest czymś innym niż kreowanie aplikacji obsługującej nie tylko usługi budżetowe, bez szczególnych nakładów w bezpieczeństwo całego systemu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×