Problemy internetu posledny tyzden
Neverim moc v nahody resp ked je nieco vela tak je toho uz prilis.
Stalo sa vam nieco podobne za posledny tyzden?
1. Za posledny tyzden sa mi ozvali 3 klienti, ze ich stranka obsahuje skodlivy kod (odhalil google). Stranky su hostovane v 3 rozlisnych hosterov, robili ich 3 rozne firmy, jedna je dokonca ciste html a napriek tomu kazda obsahuje nejaky iframovy odkaz na zavirene stranky. Skumal som dokonca servre na ktorych bezi, 2x*nix raz bsd (vylucujem zavirenie servra).
Je to nahoda?
2. Najvacsiemu ISP v nasom meste prestala fungovat posta. Im sice casto nieco nejde, ale toto bolo velmi zvlastne. Nesla nielen ich posta, ale zakaznikom nesla akakolvek posta. Niektorym po par dnoch nabehla sama, niektorym som musel vracat system o par dni dozadu (OE sa tvaril, ze vsetko prebehlo ok, ale ziadnu postu neprijal). Niektorym pomohla zmena klienta. Mam vzorku skoro 10 pripadov.
Opat nahoda?
3. Posta zacala blbnut aj na mojom lokalnom servri. Server mail bud odosle, ale klient (OE) spravu o odoslani neprijme (tvrdi, ze posta nebola odoslana), alebo mail naozaj neodosle a ja vidim na servri tuto hlasku.
Jun 25 21:52:11 router postfix/smtpd[29664]: timeout after DATA from unknown[10.100.249.4]
Jun 25 21:52:11 router postfix/smtpd[29664]: disconnect from unknown[10.100.249.4]
Jedna sa pritom o maly 10kB mail.
Okrem ineho log hlasi aj tuto hlasku:
Jun 25 21:48:09 router postfix/qmgr[15737]: warning: connect to transport relay: No such file or directory
Ale s tou zijem uz par rokov a nikdy ma neobmedzovala a cele to fungovalo.
Testovaci mail poslany na gmail odisiel (server zahlasil sent OK), ale na gmail nedorazil. Nahoda?
4. Posledna pikoska je, ze pozeram Lampu na JOJ+ a tam moderator hned na uvod zahlasi, ze maju dnes problemy s mailami a vraj nie su jedini.
Viem, ze sem tam veci nefunguju a kazia sa, ale zrazu sa mi zda, ze a toho pokazilo prilis vela a naraz.
P.S. Uz asi mesiac nahodne prestane apache2 obsluhovat klientov (procesy bezia dalej, v logu nic nehlasi) a starsi apache 1.3 si zacne robit nieco podobne. Ale to uz len tak mimo misu;o).
Otazka teda znie: Nezaznamenali ste v poslednom case zvysene mnozstvo takychto "poruch"?
1. niekto mal urcite niekde ulozene FTP hesla (nie nahodou ty?
) alebo bolo na vsetkych nejake jednoduche FTP heslo.
ostatne neviem (nejaky smejd napadajuci mail servery?), ja mam skor pocit ze sa veci seru v jednom kuse uplne kontinualne (a nielen v PC ale aj auto, byt, atd), a ked si clovek mysli ze uz konecne vsetko poriesil tak uz je posrate nieco dalsie :)
Poruchy? Ne, Framer je virus a ne porucha - to je ten z tvého bodu 1. Jak jsem psal, správce webu je lopata a používá TC jako FTP klienta.
A jinak - nebýt toho úžasného, skvělého, všude vychvalovaného a absolutně nejlepšího NODu, neměli mí klienti jediný problém s přístupem na internet.
Pobavils mě, myslím, že za tím není rozvětka :D ani Usama, ani CIA :D a už vůbec ne FBI, prostě jak má někdo špatný den, tak ty máš dejme tomu měsíc :D
jinak já nic nepozoruju :) přeji ti brzký návrat do starých vyšpalaných kolejí, ve kterých ti pošta pověží jedna báseň :)
Ukradnute fpt hesla su teorie hosterov. Ja nespravujem ani jeden z tychto webov a navyse sa jednalo vsetko o weby, na ktore nikto nepristupoval cez ftp tyzdne az mesiace. Ak doslo k odcudzeniu hesiel muselo sa to stat uz davno.
JOJka je vysvetlena, GTSko ma problem s chrbticovou sietou vraj a internetom sa siri carovny dos utok na apacha a jeho klony (je mozne, ze aj poradna sa stala jeho obetou ciastocne).
Inak jedine co mali vsetky problem spolocne boli rovnaky OS a rovnaky antivir (vsade NOD;o))).
Asi si ozaj pozriem virusovy radar, co je noveho vo svete IT;o).
Mozno mam len naozaj zlu karmu.
Já jsem měl Framer na jednom webu dvakrát - i přes změnu hesla se tam dostal, takže nic jako "dávno odcuzené" neexistuje. Jsme dva, jenž ten web spravují, kolega používá TC, já FileZillu. Od té doby, co nemá heslo (po druhé změně jsem mu jej zatím nedal) se žádný Framer nekoná. Moje vysvětlení tedy je takové, že Framer se týká jen TC. Nedělám si ale iluze, jistě se dříve či později najde podobná mrcha i pro jiné FTP klienty, takže nejspolehlivější je jistě neukládání hesel a jejich zadávání při každém připojení na FTP (za předpokladu, že v systému není keylogger, že).
No je to divne, pretoze jeden zakaznik nema vobec pristup na svoj web cez ftp, nerobili sa tam ziadne zmeny, cize predbezne vylucujem aj firmu, ktora im stranku robila a druhy ho sice ma, ale tvrdil, ze ho nepouziva.
Ale mam pocit, ze treti tvrdil, ze nahraval zalohu webu cez TC. Tam by to celkom pasovalo.
Neni to teoria, ukradnut ftp heslo sa da aj ked nikto na ftp nepristupuje, staci ze to ma niekto (debil) ulozene napr. v TC, alebo staci ze je tam aktivny aj nejaky nejaky jednoduchy ftp login napr. admin:admin, to uhadne kazdy vir. Alebo je jednoduchy login na niecom inom cez co sa da na server pristupovat.
Mohol sa vir dostat na iny web na tom serveri a pokial nahodou mal prava aj na pristup k adresarom inych webov tak pomenil vsetky weby kam mal pristup.
Alebo sa ten vir dostal cez nejaku dieru v nejakej sluzbe servera na nejakom porte XY, tazko povedat co tam vsetko bezi.
1. Nám dokonce zavirovali i školní stránky, takže tyhle epidemie jsou asi běžné..
Nehledej v tom tajemno, to jen Velký Bratr obsahuje bug. Počkej až to opraví.