Разборки с хостингом Мастерхост по поводу атаки из их сети
21 Jul 2011 | Автор: dd |Многие интернетчики и сеошники морочатся поиском так называемых bulletproof или абузоустойчивых хостингов, выкладывая за них не малые бабки, ибо это довольно специфический сервис, который обеспечивает злоумышленнику, проводящему спам-рассылку или же хостинг каких то незаконных материалов, вроде фармы, порева и прочего, полную безнаказанность.
Ибо у вменяемого хостинга, в случае размещения краденного контента или вирусов, аккаунт злоумышленника, в случае жалобы на него, банится и после этого проводится проверка, которая в случае если указанные данные подтверждаются лишают человека данного аккаунта, а в некоторых особо циничных случаях, дело может продолжится уже в уголовной плоскости. Ну да не суть- в любом случае хостинги дорожащие своей репутацией, мгновенно реагируют на все жалобы и отвечают в течении суток, как максимум.
Но оказалось что в России есть пара очень интересных хостингов, которые работая “на отъебись”, покрывают злоумышленников располагающихся на их серверах, и что самое интересное на вопрос можно ли считать их абузоустойчивыми серверами- скромно потупив глазки, говорят нет.
Собственно суть истории такова: в какой то момент мой сайт имеющий 400-500 уников в день, начал падать- то есть при попытке открыть его, я получал белый лист. Такая картина наблюдалась на доменах где крутилась CMS и даже там где ничего не было установлено, а была просто пустая директория, которая также не открывалась. Так что все подозрения на тему тормозов с mySQL были беспочвенны, но я все таки подрубил кэширование и провел ряд работ по оптимизации базы. Тем не менее сайты, эпизодически, становились не доступны на 15-20 минут, после чего снова начинали работать. Я написал в свой хостинг один раз на эту тему и мне было сказано что это работа какого то скрипта, чей IP вроде как забанили, так что я успокоился, так как сайтик стал шуршать нормально.
Но 18 июля, часов с 16-17, сайт начал падать постоянно, вырубаясь на 20-30 минут. Я поднял бучу, так что было решено что это проблемы с хостингом и мне мою виртуалку перенесли на другой сервер. Но проблема осталась, так что сайт был практически недоступен до 21 часа, пока инженеры хостинга не допетрили что это идет банальная атака на сайт и выловив IPшники просто забанили их для доступа. Суть атаки была то что в нескольких адресов шло по сотне одновременных соединений к серваку, так что мой виртуальных хостинг просто ложился. IP адреса с которых производили атаки, были следующие:
принадлежащие к пулу Гарант-Парк-Телеком
89.111.177.167
89.111.176.53
и принадлежащие к пулу Мастерхост
90.156.196.147
90.156.196.117
90.156.197.173
90.156.196.147
Инженеры моего хостинга взяли мой сайт на контроль и предоставили лог атаки, так что после того как сайт нормально заработал, я накатал обычную абузу в оба хостинга, на предмет того что с их IP адресов (по которым висело просто системное сообщение, что данный сайт не доступен) в течении нескольких часов шли атаки на мой сайт, и свое письмо я подкрепил приложенным логфайлом, из которого было видно что данная атака шла с перебором атакующих IP адресов. Письмо отправил на abuse и support обоих хостингов. Оба письма я отправил 18 июля и до середины 21 июля была полнейшая тишина, пока я не получил отпуску от Мастерхостинга, суть которой сводилась к тому что меня интеллегентным образом послали. Я задал пару вопросов, на которые получил исчерпывающие ответы, так что продолжать бодаться с тупорезами было бы просто потерей времени, так что я просто выкладываю переписку с ними здесь (красным я выделил ответы суппорта Мастерхост):
######################################
Здравствуйте!
> > Учитывая информацию которую я вам переслал, включая время атаки и
> > выдержки из логов, ваш ответ более чем неудовлетворителен, так как атака
> > с вашего хостинга, была локализована на моем сайте в то же день, то есть
> > 18 июля, так что я совсем не удивлен то что в данный момент вы ничего
> > не фиксируете.
Поиск злоумышленника был начат 18.07.2011 в 23:06, по “горячим” следам найти
его не удалось, поиск в каких либо возможных журналах до текущего момента
какой либо информации не дал.
> > Но по-видимому просмотреть логи, вашего хостинга, на
> > предмет атаки, вам не предоставляется возможным.
Логировать терабайты трафика физически невозможно.
> > Исходя из вышеизложенного и вашего ответа, хотел бы понять- могу ли я
> > считать ваш хостинг абузоустойчивым, и возможно ли размещение на ваших
> > серверах фармы, а также использовать ваши площадки под рассылку
> > почтового и поискового спама?
Нет.
Всего доброго.
– С уважением, Aleksey Antropov, .masterhost http://masterhost.ru/support/howtocontact/
————————————————
Здравствуйте!
В настоящее время соединений на (IP моего сайта) не фиксируем, если атака повториться – сообщите.
> > Добрый день!
> > Сегодня мой сайт XXX был атакован с IP адресов принадлежащих
> > вашей компании.
> > Суть атаки заключалась в одновременном открытии порядка
> > 100 сессий с различных IP адресов, в том числе и адресов
> > принадлежащих к пулу вашей компании:
> > 90.156.196.147
> > 90.156.196.117
> > 90.156.197.173
> > 90.156.196.147
> > В результате данной атаки, мой сайт был недоступен в течении длительного
> > времени, пока атака была выявлена и локализована.
> > Атака происходила в районе 20-22 часов по Москве.
> > Большая просьба разобраться в сложившейся ситуации.
> > Лог атаки прилагается:
######################################
То есть фактически хостинг мне сказал до свидания- ничего не знаем, так как смотреть по логам это не королевское и не мастерхостовское дело. Причем больше всего порадовала оперативность ответа и то, что спустя три дня, парни ничего не смогли найти. Про Гарант-Парк-Телеком я вообще молчу, так как инженеры данного хостинга видимо посчитали ниже своего достоинства писать какому то левому чуваку. Вот если бы позвонил или написал министр Россвязи- это другое дело. А так – фигня, даже не стоит обращать внимания. Другое дело что мне не совсем понятны макароны на уши относительно террабайтов связи- не говоря про то что логи прекрасно жмутся любым архиватором в случае настройки ротации логов (для этого конечно надо быть в курсе как работает cron, но думаю что уж это то суппорт хотя бы знает), но и мне кажется что в нашей прекрасной стране хостер обязан хранить логи чуть ли не два года, для возможности предоставления их силовикам по первому запросу, ибо в противном случае хостинг легко подвергнут анальной каре. Но к сожалению официального упоминания этого я в нете не нашел, а перечитывать все законы “О связи” откровенно говоря ломало.
Так что если вы ищете площадки для каких то не совсем законных действий, как то атаки на удаленные хосты, спам и прочее, то два этих хостинга (Мастерхост и Гарант-Парк-Телеком ) с удовольствием вам предоставят свои мощности и даже прикрою злоумышленную задницу, отшив навязчивых вебмастеров которые пожелают пожаловаться на злонамеренную активность исходящую с их площадок.
