Что делать при жалобе на Ваш сервер

Жалобы на виртуальные сервера – ситуации, к которой готовы сотрудники любого сервис-провайдера. Жалобы призваны проинформировать системных администраторов, которые отвечают за сервера, что с этими серверами появились определённые проблемы, изложенные в тексте жалобы.

Прежде, чем определяться с типами жалоб, пожалуйста обратите внимание на 3 вещи:

1. Если доступ по SSH возможен по паролю, то его со временем подберут, если он в пределах 12 символов. Если больше, то маловероятно, но из-за обилия попыток перебора сервер может тормозить, потому что попыток по несколько в секунду и они повторяются почти каждую секунду.
   
2. Администрирование сервера находится в зоне ответственности владельца сервера.
   
3. Пароли и уязвимости перебирают на всех публичных адресах в Интернете, на которых это возможно.
   

Жалобы делятся на 4 основных вида:

1. Спам с почтового сервера. Это жалоба означает, что кто-то отметил письмо, отправленное с Вашего почтового сервера как спам. В этом случае формируется автоматическое письмо в один из центров борьбы со спамом. Если не остановить почтовый сервер, то он попадёт в спам-базу и придётся проходить длительный процесс по выходу из неё. Если Ваш сервер попадёт в один из спам-листов, то почтовые провайдеры будут перекладывать письма с этого сервера в папку «Спам» или «Spam».
   
   Пример текста такой жалобы:

   [ SpamCop V4.8.7 ]
   
   
   This message is brief for your
   comfort. Please use links below for details.
   
   
   
   Email from IP адрес сервера / Fri, 02
   Mar 2018 20:25:36 +0200 https://www.spamcop.net …

2. Хакерская атака на Ваш сервер. Скорее всего это означает, что Ваш сервер взломали, затем с него пытались произвести атаку. Часто атаки проводят по SSH. Над сервером можно вернуть контроль, если отключить все учётные записи, кроме основной используемой, обновить пароли для всех учётных записей и включить авторизацию только по RSA ключу. Обратите внимание, что в этом случае работа с SFTP будет возможно тоже только по RSA ключу. Не используйте работу от root, а сделайте учётную запись администратора сервера, у которого будут права на sudo.
   Такой взлом делают осуществляют методом перебора пароля или методом эксплуатации одного из приложений, выставленных в Интернет с Вашего сервера. Защититься от перебора пароля можно с помощью fail2ban. Но это полумера, так как злоумышленник скорее всего обладает большим количеством IP адресов. Поскольку у RSA ключа длина слишком большая, чтобы его подобрать – это довольно хороший способ избавиться от перебора пароля. Также, важно своевременно обновлять дистрибутив, так как уязвимости в его компонентах находят почти каждый день. Необходимо всегда использовать доступ по SSH только по ключам
3. Пример текста такой жалобы:
   
   Hello Abuse-Team,
   
   your Server/Customer with the IP: *IP адрес сервера* (IP адрес сервера) has attacked one of our servers/partners.
   The attackers used the method/service: *ssh* on: *Sun, 22 Jul 2018 21:18:59 +0200*.
   The time listed is from the server-time of the Blocklist-user who submitted the report.
   
   The attack was reported to the
   Blocklist.de-System on: *Sun, 22 Jul 2018 21:19:07 +0200*
Если Вы получили такую жалобу, значит следует действовать в двух направлениях:
1. Отыскать хакерский скрипт. Если Ваш сервер взломали, то на нём размещён хакерский скрипт или он находится под удалённым управлением. Пошагово проверьте следующее:
1. Проверьте, нет ли пользователей, которых Вы не создавали;
2. Проверьте директорию /tmp/ на наличие подозрительных файлов;
3. Проверьте crontab каждого пользователя на наличие задач, которым Вам не знакомы:
   for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done
4. Проверьте, не присутствуют ли отложенные задачи, которых Вы не добавляли. Подробнее: man atq
5. Отсмотрите процессы в htop и убедитесь в том, что там нет процессов, которые Вам не знакомы.
6. Если используются приложения на Java, то убедитесь в том, что на них закрыты уязвимости log4j. Подробнее: Критическая уязвимость в библиотеке Apache Log4j
7. Установите unhide из репозиториев Вашего дистрибутива и проведите проверку. man unhide
8. Установите ClamAV из репозиториев Вашего дистрибутива и проведите проверку всех файлов. man clamscan
2. Обновить пакеты из репозиториев. Это закроет часть имеющихся уязвимостей. Если у Вас установлены специфические приложения, то для них могут потребоваться отдельные действия, в зависимости от того, что это за приложения. Если Вы запускаете самописное приложение, это не значит, что оно не имеет уязвимостей. К тому же, может являться уязвимым его бэкэнд.
4. Жалоба правового типа. Это означает, что на сайте Вы разместили материалы, принадлежащие одному из влиятельных правообладателей и он подал жалобу на удаление материалов.
   Пример такой жалобы:
   
   Уважаемая администрация!
   
   
   Настоящим ООО «Название ООО» доводит до вашего сведения, что нами обнаружены
   нарушения авторских прав на произведение (ссылки ниже).
   
   
   Нам стало известно, что ООО «ДатаЛайн» предоставляет услуги хостинга для
   Интернет-ресурсов, указанных ниже (далее - Пользователи ООО «ДатаЛайн»), через
   которые в сети Интернет распространяются копии данного произведения.
   
   
   - IP адрес сервера.
   
   
   Страницы URL представлены ниже.
5. Жалоба от РосКомНадзора. Это означает, что сайт содержит неприемлемые материалы.
   Пример такой жалобы:
   
   Направляется уведомление о внесении в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» следующего(их) указателя (указателей) страницы (страниц) сайта в сети «Интернет»: адрес сайта.

Действия сотрудников Cloudlite

Если пришла жалоба, то у сотрудника нашего сервиса есть обязанность выключить сервер, связанный с жалобой. Это необходимо для того, чтобы предотвратить хакерскую атаку, которой подвергается наш клиент. Такие действия уже не раз проверены на практике как правильное решение. Если администратор сервера не на рабочем месте в момент, когда сервер ломают, то он не сможет предотвратить хакерскую атаку. Выключение является компромиссом, так как из-за хакерской атаки любой продуктив, каким бы проектом он ни был, может пострадать.
Кто знает, что на уме у хакера? Может он после атаки файлы на сервере массово начнёт удалять? Поэтому мы выключаем сервер и оповещаем нашего клиента о произошедшей ситуации. Это превентивная мера, которая позволяет сохранить проект нашего клиента.

Если Вы получили запрос с текстом жалобы

Если Вы получили от нашего сотрудника сообщение о том, что сервер остановлен по жалобе, внимательно ознакомьтесь с её текстом, чтобы понять, к какому типу она относится.

• Если это почтовая жалоба, то скорее всего нужно отписать от рассылки пожаловавшегося адресата.
• Если это жалоба на взлом, то Вам понадобится сменить все пароли и от аккаунтов на сервере.

Приход к согласию

Тезисы, которые Вам нужно знать помогут в разрешении возникшей ситуации:

• Сервер можно включить, если Вы ответите в запрос. Ответить на запрос техподдержки можно из личного кабинета. Зайдите на страницу «Запросы». Там уже будет запрос, ожидающий вашего ответа. Дважды нажмите на строку. Откроется диалог. Изучите написанное сообщение и ответьте на запрос.
• Если на сервер ранее не было жалоб, то ничего страшного.
• Если на сервер была одна жалоба, то ничего страшного.
• Если на сервер ранее было две жалоба и пришла третья, мы вынуждены удалить сервер по правилам нашей информационной безопасности.
• Мы понимаем, что у Вас может быть важный проект, а жалоба может быть отчасти несправедливой. Если потребуется, то перед удалением мы можем выгрузить Ваш сервер и предоставить его виде VMDK или OVF.
• Причина по котором мы не можем оставить заражённый сервер работающим: если мы оставим заражённый сервер работающим, то через сутки в чёрный список могут внести всю подсеть.

Если Вы получили жалобу от правообладателей, то дискуссию с ними необходимо будет вести самостоятельно. Об этом будет дополнительно уведомлено в запросе. В этом случае мы не останавливаем сервер в течение длительного времени.