[OPINIE] GBZL.pl

[Tehiro 3]

Witam. Teraz GBZL.pl podarował nam 100 kodów na darmowe serwery na miesiąc. Ja obecnie ich sprawdzam, lecz chcę poznać wasze opinie.

[HaPe 242]

Ten sam właściciel, co Idhosting.

[Kolopik 222]

Mam u nich konto od Marca i jestem zadowolony Konto służy mi do backupu danych, wysyłam tam kopie z innych serwerów. Jak \za takie pieniądze to warto, 10zł na rok to nie jest duży pieniądz. Oczywiście musisz mieć na uwadze to, że firma nie robi kopii bezpieczeństwa.

[Tehiro 3]

Za takie pieniądze nie ma co liczyć na backup'y Jak na razie potrzebuje czegoś taniego więc te dokładnie 12 zł na rok to żadne pieniądze

 

[Shk 51]

GBZL.pl hacked.

[bermut 18]

[Shk 51]

Podmieniono wszystkie pliki z fragmentem 'index' po godz. 18:40.

[bermut 18]

Wróciło. Teraz tylko po stronie klienta fajny rozpierdol, bo musimy ogarnąć te indexy...

 

Edit.

Zoptymalizowane pod kątem SEO w 120 procentach http://pastebay.com/1289194

Edytowano Sierpień 31, 2013 przez linoskoczek (zobacz historię edycji)

[gbzl.pl 0]

Wszystkie pliki index.* sa właśnie przywracane z wczorajszego backupu. Proszę o trochę cierpliwości i wszystko wróci na miejsce.

 

W nocy mogą zdarzyć się jeszcze spowolnienia w zwiazku z pracami "uszczelniającymi" serwer.

[Shk 51]

Jakieś szersze informacje dotyczące ataku? Coś 'wyciekło'? Głupi wybryk?

[gbzl.pl 0]

Włamanie odbyło się przez konto jednego z klientów. Włamywacz za pomocą exploita pobrał skrypt w perlu, który potem zdalnie uruchomił i podmienił indexy. Poza samą podmianą indexów nie stwierdziłem żadnych strat.

 

Bardzo możliwe, że ataku dokonał bot. Łączył się z adresu IP firmy zarejestrowanej w Kuwejcie. Na wszelki wypadek wyciąłem ich klase adresową.

 

W nocy przeszukamy wszystkie dane pod kątem różnego rodzaju złośliwego oprogramowania.

[ksk 67]

Czyli że co ? każdy user działał na userze www-data ? Bo jak by odpalał instancje php na swoim userze to by się oberwało jednemu userowi a nie całemu serwerowi .

[gbzl.pl 0]

Każdy użytkownik działa ze swoim UID. Gdyby wszyscy działali z prawami serwera www (i włamywacz również) to usunięcie danych zauploadowanych przez FTP, a zazwyczaj tak się wrzuca na serwer pliki strony, byłoby nie możliwe. Do podmiany indexów został użyty exploit o czym napisałem wyżej.

[Pan Kot 1535]

Wyjaśnij mi w takim razie jakim cudem ten "exploit" potrafił zmienić indexy wszystkich użytkowników, skoro nie należą do niego? Może chmod 777 asekuracyjnie na wszystko poleciał?

 

No chyba, że z poziomu php można u was "exploitem" dostać się na roota. W takim razie fajnie wiedzieć, jutro wysyłam dyszkę . Nie znam innego sposobu na ruszenie plików innego usera nie będąc tym userem i nie mając roota.

 

(A, i żeby nie było teorii spiskowych, piszę to w swoim imieniu jako user, a nie firma)

Edytowano Sierpień 31, 2013 przez Archi (zobacz historię edycji)

[Zoel 9]

Przy mod_php z mod_ruid2 lub fastcgi z suphp do takiej sytuacji by nie doszlo.

[Pan Kot 1535]

Przy (f)cgi/fpm również, o ile każdy daemon byłby zchrootowany w home usera (ultra proste) i jeszcze działał spod niego. Wtedy php nawet nie mógłby się dostać do /tmp, a co dopiero wyjść z chroota, który z łatką grsec ma tak restrykcyjne limity, że nawet ja nie mam pomysłu jak go złamać .

 

No ale co tam. W końcu exploit jest na tyle dobry, że przedziera się przez wszystko i ląduje na roocie albo zabezpieczenia są tak dobre, że user ma wszystko działające pod chmodem 777.

 

Chętnie dowiem się więcej szczegółów więc poczekam na odpowiedź od samego właściciela .

Edytowano Wrzesień 1, 2013 przez Archi (zobacz historię edycji)

[Paul 0]

Czy z GBZL.pl wszystko ok? od przeszło 2,5 (a prawie 3h) serwer nie działają... Czy ma to może jakiś związek z wczorajszą wpadką tj. "atakiem"?

 

---

 

Serwer nie działał od ok. 7:00 do 9:45 - aktualnie działa

Edytowano Wrzesień 1, 2013 przez Paul (zobacz historię edycji)

[plu96 0]

Padło od ponad godziny OFF

[kori 29]

coś tu jeszcze niedopracowane

"Niestety wystąpił problem podczas automatycznej aktywacji Twojej usługi. Wiadomość zawierająca szczegóły
błędu została już wysłana do naszego administratora. Niezwłocznie zajmie się rozwiązaniem problemu.

Przepraszamy bardzo za opóźnienie w aktywacji usługi. Skontaktujemy się z Tobą jak tylko będziemy mogli
uruchomić usługę."

[bermut 18]

Po przejęciu forum przez nazwa.pl i zmianach w regulaminie zdecydowałem się usunąć wszystkie swoje posty. Cześć.

 

Edytowano Wrzesień 20, 2017 przez linoskoczek (zobacz historię edycji)

[kori 29]

1. nie dzialają maile ze strony - Fatal error: require_once(): Failed opening required 'Mail.php' (include_path='.:/usr/local/lib/php')
2. wildcard dla domen nie da się włączyć z panela, nie ma takiej opcji

no cóż już dwa zadania dla supportu, zapodam info jak szybko zrealizowali

[kori 29]

tak, najwidoczniej o tym pliczku zapomnieli

[kafi 2425]

Oni zapomnieli, czy ty zapomniałeś?

 

 

Jeśli twoja aplikacja wymaga klas ze zbioru PEAR to możesz je sobie sam dograć.

W środowisku sharedowym chyba nawet... powinieneś.

[kori 29]

niedziela

1. ok. 1h - admin zmienił pakiet, przy rejestracji wybrany niewlasciwy , brak możliwości zmiany/usunięcia po zalogowaniu

2. ok. 1h - manualna akceptacja, automatyczna zawiodła

3. 5h pytania techniczne, odpowiedzi krótkie i na temat
1. Nie ma, ale administrator moze wlaczyc wildcard dla danej domeny.

2. Brakuje Panu plikow odpowiedzialnych za wysylke. W komunikacje bledu jest informacja jakiego pliku dokladnie brakuje.

...aczkolwiek wolałbym odrazu wykonanie ;p

4. 33 minuty

1. Gotowe. Przynajblizszym przeladowaniu ustawienia zaczna dzialac. Musi sie rowniez rozpropagowac nowa strefa DNS z wpisem wildcard.
2. Brakujaca klase pear moze Pan dograc samodzielnie.

różne hostingi testowałem i nie musiałem nic dogrywać
wystarczy wkopiować na hosting? bo ssh nie ma więc instalować nie da się

 

Edytowano Październik 6, 2013 przez kori (zobacz historię edycji)

[kafi 2425]

http://pear.php.net/package/Mail/download

 

To chyba raczej o tobie lekko źle świadczy, że używasz takich bibliotek nie wiedząc, czym one są, no i licząc na to, że na hostingu shared będą z automatu dostępne akurat te, których używasz. Można się tu niestety jak widać przeliczyć. Problem może być albo z tym, że nie istnieją, albo też i z nieco inną wersją różniącą się jakimiś pierdołami. Jeśli więc nie chcesz sobie generować problemów (teraz czy w przyszłości, bo ktoś zrobi upgrade pear i klops) to dołącz je manualnie do kodu twojej strony

Edytowano Październik 6, 2013 przez kafi (zobacz historię edycji)