Hosting hostit.pl i problemy z atakami ddos

[extendet 0]

Witam serdecznie

 

Piszę do Was w pewnej dość nie typowej dla mnie sprawie. Opiszę wszystko w punktach aby zobrazować całą sytuację. A więc:

 

1) Kilkanaście dni temu na prośbę mojego znajomego, któremu utrzymuję na moim serwerze stronę utworzyłem oddzielne konto ftp oraz bazę danych mysql ponieważ ktoś z jego znajomych miał mu zrobić nową stronę opartą na joomli. Strona nadal miała wisieć u mnie na serwerze.

 

2) Po około 2-3 dniach dostałem ów wiadomość od mojego dostawcy hostingu (hostit.pl):

 

Witam,

Państwa serwera dokonuje ataków DOS na inne serwery w sieci i tym
samym utrudnia także działanie serwerów hostit.pl, w związku z tym
nasi klienci mogą obserwować problemy w działaniu serwerów - które są
spowodowane nadużyciami dokonywanymi przez państwa skrypty.

W załączniku przesyłam także wykres CPU, który bardzo mocno narusza
parametry bezpieczeństwa wykupionego planu.
https://hostit.pl/hosting/#parametry-bezpieczenstwa

Analiza państwa plików wykryła wirusy na serwerze - proszę o usunięcie
wszystkich plików (nie tylko tych wskazanych poniżej) oraz zastąpienie
oprogramowania nowymi wersjami.

Bardzo ważne, proszę o _dokładne_ przeczytanie wpisu (wyjaśnione tam
jest dlaczego po prostu nie usunęliśmy zainfekowanych plików):
https://hostit.pl/blog/385,moj-wordpress-zostal-zhackowany.html

Po zaktualizowaniu wszystkich aplikacji i usunięciu starych i
dziurawych wersji aplikacji - prosimy o kontakt blokada skryptów
zostanie zdjęta.

 

 

Oczywiście natychmiast podjąłem w/w działania celem wyeliminowania problemów i zastosowałem się do zaleceń dostawcy hostingu (usunięte wszystkie pliki, nowe przeskanowane antywirusem i świeże skopiowane na serwer).

 

3) Po kilku godzinach wszystko działa poprawnie, aż nagle po 48 godzinach dostaję kolejnego maila od firmy:

 

 

Dzień dobry,

W związku z ponad 40 krotnym przekroczeniem przyznanych zasobów CPU dla pana konta, dostęp do usługi HTTP został zablokowany i nie będzie mógłby być włączony w obecnym planie. Tak duże wykorzystanie zasobów jest możliwe tylko w przypadku hostingu dedykowanego.

 

Postanowiłem przedwczoraj wyłączyć wszelkie serwisy na moim serwerze i usunąłem z niego wszystko. Dla bezpieczeństwa jeszcze raz wszystko przeskanowałem i było czysto.

 

Tymczasem dostawca nie odpowiada na moje maile i serwer cały czas jest wyłączony.

 

Na maile nie odpisuje. Telefon dzwoni ale nikt nie odbiera.

 

Czy mógłbym prosić Was o pomoc jak zaradzić temu problemowi?

 

Utrzymuję kilka ważnych dla mnie (podkreślam) statycznych stron internetowych i nie generują one zbyt wielkiego ruchu. Około 50 odsłon na miesiąc każda (wizytówki firmowe bez flash'a itd.). Problemu powstały po ingerencji osób postronnych.

 

Proszę o pomoc.

[Gość]

 

 

Czy mógłbym prosić Was o pomoc jak zaradzić temu problemowi?

 

 

 

Przedwczoraj był weekend, mogli odpisywać lub nie, ale gdyby do jutra nie było sensownej odpowiedzi to w pierwszej kolejności proponuję pomyśleć nad zmianą usługodawcy hostingowego ;-)

[Gość l3szcz]

1) Kilkanaście dni temu na prośbę mojego znajomego, któremu utrzymuję na moim serwerze stronę utworzyłem oddzielne konto ftp oraz bazę danych mysql ponieważ ktoś z jego znajomych miał mu zrobić nową stronę opartą na joomli. Strona nadal miała wisieć u mnie na serwerze.

Dalej nie muszę już czytać bo wiem, że problem wynika ze źle skonfigurowanej i dziurawej jak ser szwajcarski joomli. Wstrzyknięcie kodu nie jest trudne w wypadku tego skryptu stąd ciągłe problemy z serwerem a do tego radziłbym przejrzeć Tobie czy w plikach nie ma żadnego złośliwego kodu (tego antywirusem akurat nie wykryjesz).

[Gość Kamikadze]

Złośliwe kody w plikach joomli dość łatwo wykryć antywirusem.

[extendet 0]

Witajcie

 

Cały czas próbuję rozmawiać z przedstawicielem hostit.pl a mój serwer nadal milczy.

25.07.2016 wyłączyłem wszystkie strony na moim serwerze i wysłałem wczoraj takiego maila do firmy:

 

Treść zgłoszenia
=============================

Witam

W dalszym ciągu nie został uruchomiony mój serwer, a Państwo nadal milczą.
Czy te milczenie ma oznaczać, iż mój serwer nie będzie już w ogóle
aktywowany? Wygląda na to, że wszystkie problemy mojego serwera zostały
zażegnane tak więc można go z powrotem uruchomić. Czekam na interwencję i
jakąkolwiek odpowiedź. W przypadku braku odpowiedzi lub reakcji z Państwa
strony będę zmuszony rozstać się z Państwem (choć tyle lat byłem Państwa
stałym klientem i nie chciałbym tergo przerywać) oraz dochodzić zwrotu
poniesionych przeze mnie pozostałych kosztów serwera do końca okresu
rozliczeniowego zawartego w umowie.

Czekam na odpowiedź.

 

Tymczasem dziś dostałem taką odpowiedź:

 

Witam,

Czy zgodzie się pan pokryć koszty wykorzystania serwerów za okres, w którym naruszał pan parametry bezpieczeństwa serwera, czyli ponad stan wykupionej usługi?

 

Aktualnie w panelu klienta widzę, że mam jeszcze do wykorzystania 133 dni aktywności serwera. Czy w tej sytuacji dalej jest warto brnąć w to aby wyegzekwować porozumienia zawarte w umowie i aby serwer został uruchomiony z powrotem czy też odpuścić sobie i szukac nowego dostawcy?

 

PS. Zaznaczam, że i tak za ewentualnie nie wykorzystany okres czyli 133 dni będę dochodził odzyskania poniesionych przeze mnie kosztów.

[Gość]

Witajcie

 

Cały czas próbuję rozmawiać z przedstawicielem hostit.pl a mój serwer nadal milczy.

25.07.2016 wyłączyłem wszystkie strony na moim serwerze i wysłałem wczoraj takiego maila do firmy:

 

Tymczasem dziś dostałem taką odpowiedź:

 

Aktualnie w panelu klienta widzę, że mam jeszcze do wykorzystania 133 dni aktywności serwera. Czy w tej sytuacji dalej jest warto brnąć w to aby wyegzekwować porozumienia zawarte w umowie i aby serwer został uruchomiony z powrotem czy też odpuścić sobie i szukac nowego dostawcy?

 

PS. Zaznaczam, że i tak za ewentualnie nie wykorzystany okres czyli 133 dni będę dochodził odzyskania poniesionych przeze mnie kosztów.

 

Dowiedz się czy możesz uzyskać od dostawcy wynik skanu Twojego konta aplikacją maldet, powinno to naprowadzić Cię na to które pliki mogą powodować problem.

 

Choć ogólnie przy takim podejściu jak przedstawiasz ja na Twoim miejscu bym się stamtąd pakował ;-)

[extendet 0]

Napisałem do nich maila aby przeskanowali moje konto ale już nic na ten temat nie odpisali.

 

Dostałem jednak inną wiadomość:

 

Pana serwer nie został zablokowany. Zablokowana została usługa HTTP - pozostałe funkcje serwera, takiej jak MySQL, DNS i serwer poczty działają nadal.

 

Po tej ostatniej odpowiedzi serwer nadal nie działa w stu procentach i zmieniłem dostawcę usług. Bo co mi po stronach, które tak naprawdę nie działają?

 

PS. Na wykopie widać, że hosting CAL.PL ostatnio także działa takimi samymi metodami aby wykluczyć od siebie klientów.

[strefapc 69]

"Państwa serwera dokonuje ataków DOS na inne serwery w sieci..."

Skoro z Twojego konta idą ataki to naturalną rzeczą jest, że hosting blokuje konto. Ty jeszcze chcesz zwrotu pieniędzy za to?