Август 18, 2005

Безопасность хостинга в сети. Часть 2.

Особое внимание надо уделить декларируемому круглосуточному мониторингу специалистами Провайдера работоспособности серверов.

Большинство хостинг-провайдеров на своих сайтах пишут о 24-часовом мониторинге сервисов на наличие опасности и аварий. Но, как показала практика, это не всегда является правдой. Стоит привести в пример скандальный взлом сервера московского хостинг-провайдера «Компания АЗЗ». В течение года на серверах провайдера замечались периодические провисы и отказы, а один раз сервер был взломан и титульные страницы всех сайтов провайдера подменены, однако это было вовремя замечено и настолько быстро устранено администратором сервера что подавляющее большинство клиентов ничего не заметили и скандала удалось избежать. Но вот 13 июня на главном сайте АЗЗ повисла фраза: «DaemonOptik still alive chmod 775 index.php! Estamos meio parada devido a problemas pessoais do grupo.... mas em breve voltaremos a ativa».

Стоит отметить, что ни один из сайтов клиентов при этом не пострадал. Однако в этот раз тех поддержка провайдера не замечала взлом в течение целых 12 часов. Что же тут говорить о 100% uptime, о чём заверяет значок на титульной странице сайта провайдера…
Позднее, отвечая на запрос одного из старейших клиентов администратор АЗЗ г.Ткачёв сделал интересное заявление – оказывается всё это время они «охотились» на взломавших сервер хакеров!

Запрос с просьбой прокомментировать появившуюся в Сети информацию о взломе от администрации одного из авторитетных ресурсов по безопасности в Интернет портала «БДИМ!» ими вообще был проигнорирован.

Но ситуация с AZZ.RU – это не единичный случай. Взять, к примеру, DinoHost. По отзывам в форумах, часто сайты клиентов бывают недоступными, а когда пытаешься обратиться за объяснениями, то не получаешь никакого ответа. Остается только гадать, что же на самом деле случилось.

По данным форума HostReviews.Ru можно определить также еще несколько хостинг-провайдеров, которые откровенно «халтурят» в своей работе. Так, к примеру, Хостинг-центр РБК славится плохой технической поддержкой. Как пишут пользователи, служба не плохая, а «ленивая». Ответы на вопросы приходят с запозданием, к тому же, они недостаточно информативны.

Та же проблема постигла Zenon N.S.P. Здесь на ряду с устойчивостью и защищенностью существует плохая служба поддержки, которая все неполадки ссылает на DdoS- атаки, что не всегда является правдой. Возможно, это сделано для того, чтобы не загружать лишней информацией и так занятые головы администраторов сайтов.

Даже знаменитый хостинг ValueHost не избежал проблем. По отзывам пользователей, очень часто бывает недоступен mysql и почта. Также существует некоторая проблема с поддержкой. По телефону отвечают точно и ясно, а вот по e-mail’у присылают «отписки»., что для такого уважаемого хостинга просто неприемлемо.

Продолжение следует...

Автор:

Комментарии

1. 18.08.05 13:22 От: Леонид Сопов

хм.. касательно хостинга ValueHost то служба поддержки не когда не работает 24 часа, точнее работает, но сидит формально человек который может предложить обратится позже, а насчет баз то действительно часто бывает не доступен mysql, но сейчас базы поднимают значительно быстрее, последний простой был вчера на 11 минут. служба поддержки, теперь когда отвечает не сразу, стала писать "приносим извинения за долгий ответ"

2. 18.08.05 13:57 От: Дмитрий Юзвяк

Да, прогресс на лицо... :) Радует то, что хостинг-провайдеры начали наконец-то хотя бы признавать свою вину, но, к сожалению, не все. От лица портала "БДИМ!" мне лично приходилось общаться с "Компанией АЗЗ", но вразумительного ответа получить не удалось. Пришлось мигрировать на другой хостинг. Новый "избранником" стал PeterHost, который также не оправдал ожиданий и пришлось обращаться за помощью к американским провайдерам (о чем по сей день не жалеем). Когда ж, наконец, российские и украинские хостинг-провайдеры поймут, что они в ответе за потерянных клиентов?

3. 18.08.05 18:47 От: Drug

В этой второй части вообще речь идет не о безопасности, а суппорте и о том как конкретные хостинги плохо работают. Вместо того чтобы описывать как и что объективно выбирать людям советуется сразу перейти к америкосам.

Что касается динохост так этот хостинг давно развалился и сейчас является собственностью того же PeterHost.

>>Большинство хостинг-провайдеров на
>>своих сайтах пишут о 24-часовом
>>мониторинге сервисов на наличие
>>опасности и аварий. Но, как показала
>>практика, это не всегда является
>>правдой

Мониторинг сервисов это не значит мониторинг сайтов, если взламывают сайт то сам сервис на сервере работа без проблем.
Но рынок хостига очень динамичный внешний угроз очень много поэтому сбои среднестатистически бывают всегда и у всех.

То что Zenon ссылается на DDOS атаки в 90% случаев бывает правдой если не все 100%. Вот к примеру, начинают атаковать ваш сайт на сервере при этом пострадают все сайты на данном сервре. И все клиенты этого сервера будут говорить что Zenon их обманывает так как их другой сайт на том же зеноне но на другом сервере работает без сбоев.

В общем имхо это часть статьи напоминает о том что все плохие. И ни одного нормального совета ни хостерам ни клиентам.

--
С уважением,
Sergey Dugin www.qwarta.ru
Тел. (095) 7722011

4. 18.08.05 19:32 От: Дмитрий Юзвяк

Да, в этой части конкретно про безопасность написано мало, но разве вы будете спорить, что очень много атак совершается непосредственно на серверы? В этом случае именно супорт и круглосуточный мониторинг поможет вовремя определить источник опасности и в кратчайшие сроки устранить его, не нанося ощутимого вреда своим клиентам.

Я ни за что не буду советовать перейти к американцам. Я просто указываю, на что следует обращать внимание при выборе хостера.

Я уверен, что существуют в России и Украине немало хостинг-провайдеров, способным обеспечить своим клиентам максимальную стабильность и поддержку, но никого рекламировать я не собираюсь! Я просто предостерегаю от того, с чем сталкивался лично.

Насчет 24-часового мониторинга. Я уверен, что на аппаратном и програмном уровне такой мониторинг действительно ведется, но какой мне толк от того, что после "повала" хостинга мне скажут, что "да, действительно в лог-файле отобразилась атака, так что у нас мониторинг работает!" Я говорю про то, что очень часто своевременной реакции на оповещения о угрозе не следует. К тому же, если ложится один сервер, а другие работают, то, как мне кажется, правильно было бы хотя бы рассылать письма с извинениями и указаниями причин и времени атаки пользователям, чьи сайты пострадали либо были недоступны какое-то время. Как мне кажется, это бы сняло очень много вопросов и упреков.

Вопрос к Сергею: я заметил, что вы представляете некоего хостинг-провайдера (не будем называть его название - кому надо - сами прочитают в вашей подписи). Так вот, хотелось бы услышать о том, как ваша компания реагирует на подобные явления (взлом или попытка взлома). Было бы очень интерено узнать.

Итак, в Части №3 я расскажу, на какие юридические нормативные акты можно опираться при общении с супортом и расскажу, что такое "Дата-центр".

В 4-й части будет рассказано про крупнейшие типы и виды атак на хостинг-серверы (с примерами).

5-я (заключительная) часть поведает в общих чертах про способы обороны.

Сказано это мной для того, чтобы уважаемый Сергей больше не питал подозрений, что статья не соответствует своему названию. Выбирая название для статьи, я старался сделать его обширным, не вдаваясь в подробности, чтобы не быть скованным в поле для деятельности.

Если у вас, Сергей, есть предложения, как можно более правильно назвать эту статью - буду рад услышать и исправить.

5. 18.08.05 22:36 От: Drug

Да я представлю и владею.

Мы реагируем на атаки сразу как узнаем о них, если это DDOS атака, то обычно я об этом узнаю в течение 5-10 минут.
А вот если взломают чей-то сайт, то такой взлом обнаружится - как повезет и чаще всего его первым видит сам владелец сайта.

Хотя у нас приняты кое-какие меры (какие писать не буду) для того чтобы в некоторых случаях взлом сайта обнаружить в течении до 5 минут после взлома.

А на попытки взлома (то есть не удачные попытки) практически не обращаем внимания потому как кол-во таких попыткой десятки - сотни раз в день, которые идут от разных ботов-вирусов.

Что касается моего предложения к вам по поводу статьи вы её назвали "Безопасность хостинга" - безопасность хостинга для клиента или для самого хостинга в целом? Не очень четко описано. Если статья для хостеров, то опытные хостинг компании знают все что вы напишите, а для клиентов хостингов в принципе не важно какие атаки бывают, потому что от DOS и от DDOS атаки просто клиент ничего поделать не сможет.
А если вы напишите как обезопасить простому клиенту свои скрипты от взлома, то это тоже поможет только тем у кого есть хоть какие-то навыки программирования.

Что касается:
>>К тому же, если ложится один сервер,
>>а другие работают, то, как мне
>>кажется, правильно было бы хотя бы
>>рассылать письма с извинениями и
>>указаниями причин и времени атаки
>>пользователям, чьи сайты пострадали
>>либо были недоступны какое-то время.

То я с вами согласен что предупреждать надо, но тут возникает несколько проблем + очень тонкая грань между тем о чем именно предупреждать о чем нет.

Например, если сервер в результате обновления какого-модуля нужно на две минуты перегрузить в 3 часа ночи об этом нужно уведомлять или нет? (это я к тому что ежедневно выходят обновления для софта на сервере) и уведомлять через ночь о том что будут проводиться работы на 2 минуты ночью будут только раздражать клиентов.

Кроме того, вот допустим, на сервер идет DDOS атака на этом же сервере находится почтовый ящик клиента да уведомление ушло на этот ящик, но клиент его получит после атаки, обзванивать клиентов не реально, и не у всех клиентов есть ящики где-либо ещё.

У меня была схожая ситуация как клиента компании Мастерхост, у них как-то случилась проблема с каналами, на два-три часа сервера наши были не доступны при этом ни на сайте ни где не было уведомления и извинения о произошедшем сбое. А мастерхост сейчас лидер рынка!

Так с кого брать пример? И что именно брать за пример?

Рассказать всем клиентам, что сегодня на хостинге были проблемы - это значит частично испортить свой имидж (по крайней мере, так думает мастерхост)

А мое мнение нужно найти золоту середину, при которой о чем-то уведомлять, о чем нет.

Но на практике скажу, проблемы бывают ежедневно, а если учесть что у крупного хостинга серверов десятки если не сотни, то проблемы бывают ежечасно и об этом уведомлять клиентов имхо очень спорный вопрос!

6. 18.08.05 23:13 От: Дмитрий Юзвяк

Сергей, я с вами почти полностью согласен.

Я очень рад, что технологии дошли до той ступени, когда о DoS и DDoS атаках можно узнать в течение нескольких минут. Это очень радует, а на атаки отдельно взятых сайтов необходимо реагировать только если атака стала возможно исключительно из-за несовершенства оборудования или ПО на сервере, в ином случае - надо было называть статью "Безопасность сайта в сети", а таких написано десятки и даже сотни в одном только рунете!

Поверьте, хостерам давать советы - не моя задача! Что я могу рассказать людям, которые знают куда лучше меня, что происходит на сервере и когда. Вы также могли заметить, что в статье нет отрывков технической документации. В основном, я делал упор именно на жизненные ситуации (т.е. куда обращаться - в следующей части, на что обращать внимание при заключении договора, в последней части опишу примерные этапы защиты на серверах (доступным языком), чтобы при общении с супортом клиент не казался полным лопухом)

В отношении извинений я с вами почти согласен. Но вы меня не правильно поняли. Я не говорю, что надо предупреждать и извиняться за плановые перегрузки или обновления (естественно, если они не длятся часами), а только лишь в случае с атаками. Думаю, что если совершена атака на сервер, пользователи должны знать. Но надо приукрасить немного, что была сложнейшая атака, которую нам удалось устранить в течение нескольких часов, а другие бы вообще не справились... :) Тогда это не сильно бьет по авторитету. К тому же, если авария случилась минут на 20-30 - это не страшно, пользователь такое переживет, а вот если больше, чем 2 часа сайт не был доступен по вине хостера, тогда я считаю, что хостер просто обязан извиниться.

А что касается крупных провайдеров, то я считаю, что у них денег хватит нанять трудоспособную и грамотную службу поддержки клиентов, чтобы те хотя бы после аварий могли дать какое-то объяснение в случае вопроса.

Просто в моем случае с "Компанией АЗЗ" весь хостинг лежал в течение нескольких дней, а на наши звонки никто не отвечал, а когда приехали к ним в офис, от нас "отмазались" какой-то отговоркой о "плановых работах". Что ж это за плановые работы, которые зависают на несколько дней? По нашим скромным подсчетам, мы за те несколько дней потеряли до несколько сотен постоянных клиентов... И ни до, ни во время, ни после этих событий нам не последовало ни объяснений, ни извинений.

7. 19.08.05 03:49 От: Drug

Да тогда вашу статью надо назвать так
"Гарантии при работе с хостинг компаниями или на что обратить внимание" ну или в таком духе.

Насчет зависа на пару дней это конечно я в шоке. (по поводу azz)

А вообще конечно очень важно сделать безотказную систему уведомления и возможно дополнительные бонусы от хостера клиенту за простоит и отказы.

Но с другой стороны если клиент хостинга зарабатывает на своем сайте большую сумму денег, то иногда стоит подумать о переходе на отдельный сервер, не потому что нагрузка на сервер большая, а потому что стоимость аренды сервера куда дешевле чем потеряная прибыль за 2 часа простоя днем в рабочее время. Ну и когда клиент один на сервере, то и веротяность попадания под DDOS меньше и взлома сервера меньше!

--
С уважением,
Sergey Dugin www.qwarta.ru
Тел. (095) 7722011

8. 19.08.05 04:00 От: Дмитрий Юзвяк

Спасибо за совет. На днях подумаю, как можно интересно и красиво назвать статью, чтобы она полностью соответствовала содержанию. Предложенное вами название мне нравится по звучанию, но не нравится по длине.

Насчет бонусов - это очень даже интересная мысль. Я не уверен, что они должны быть строго материального плана (как-то выплата компенсаций или бесплатное обслуживание в течение месяца). Думаю, что неплохо было бы раздать, например, по 1000 баннеропоказов (т.е. на каждого клиента необходимо выделить около 5 у.е.). Но тут срабатывает другой фактор - не выплачивать же неустойки сайтам, стоимость размещения которых приравнивается к этим 5 у.е. (небольшие тарифные планы, как правило, с ограничением всео и небольшим количеством выделенного пространства)? Что вы думаете по этому поводу? Мне кажется, что правильнее было бы сделать градацию по стоимости (чем больше платишь - тем больше бонусов), либо среди тарифных планов розыгрывать какие-либо призы... В общем, мыслей много, да только реализовывать негде... :)

Насчет выделенных серверов, то в этом я вас поддерживаю. Нам пришлось переместить все наши проекты в Америку не из-за того, что мы перестали доверять русским хостерам, а лишь из-за того, что нам там предложили более выгодные условия co-location. Поэтому для крупных организаций (даже для крупных web-студий, которые размещают сайты своих клиентов на своих аккаунтах) оптимальным решением будет именно выделенный сервер.

9. 19.08.05 12:37 От: Admin

Сегодня Valuehost опять упал. Причем уже как минимум 5 часов недоступен ни один сайт. И вобще ничего не доступно. Саппорт в том числе. Наш портал постоянно теряет посетителей и потенциальную прибыль в виде рекламных показов. При этом все говорят что этот хостинг лучший. Естественно, если бы были деньги то вопрос решился бы путем покупки отдельного сервера. Но, увы, приходиться довольствоваться этим.
Неужели в России невозможно создать хостинг если не на 100%, так хотя бы на 99% надежный и удобный?
Администратор www.real-man.ru

10. 19.08.05 14:21 От: Денис, videopusto.ru

Да, valuehost повис. А у нас фестиваль 25-го, и народ жаждет видеть афишу.
Раньше у меня на валуйхосте висели все сайты, которыми занимался (числом до 10), потом стал убирать потихоньку - операторы сервиса стали вести себя в стиле "Вас много, а я одна." Осталось два сайта еще, но надо совсем завязывать.

11. 19.08.05 14:23 От: Дмитрий Юзвяк

Как мне кажется, ведущие хостинг-провайдеры просто сильно дорожат своим авторитетом, поэтому никогда ни извинятся, ни объяснят ничего, даже в случае с такими авариями. И мне кажется, что они несколько "зажрались". Такое было когда-то с производителем мобильных телефонов "Siemens". После выхода сверхудачной 45-й серии, компания несколько "расслабилась", выпуская по одной-две модели в год, причем далеко не лучшего качества, благодаря чему Samsung смог занять лидерство. Компания решила несколько лет жить "по инерции" от былого успеха. Хорошо, что год-два назад маркетологи спохватились и сейчас все возвращается на круги своя. Мне кажется, что тоже самое происходит сейчас и с ValueHost. В скором времени (по моим прогнозам) на лидирующее место должна выйти какая-то другая компания, которая на достаточно продолжительное время должна предложить очень хорошие условия и качетсво. Т.е. по закону конкуренции, в течение нескольких лет все должно наладиться. Если же этого не произойдет - следует ожидать открытия в России филлиалов западных хостеров, которые уже работаю на принципиально новом качественном уровне.

12. 19.08.05 21:12 От: ds

Да что вы привязались к валуехосту-то? :) Чем не устраивает, например, "мастерхост" или "мажородомо" тот же?

13. 19.08.05 22:57 От: Дмитрий Юзвяк

bs, поверьте, в России абсолютно идеальных хостинг-провайдеров еще замечено не было.

Что касается Majordomo.Ru ... По отзывам его клиентов могу сказать следующее:

1) Последнее время регулярно проблемы. Разные. То базы sql "падают", то технические проблемы. В общем как у всех. О причинах как правило умалчивается.

2) Ответ службы поддержки приходиться ждать 2-3 часа а то и полдня, раньше отвечали оператвно, сейчас ситуация изменилась.

3) Регулярно если на сайте высокая посещаемость, администраторов ставят перед выбором: либо съезжать (из-за того, что нагрузка на сервер большая), либо размещать баннеры их рекламной службы (таким образом как-бы компенсируя нагрузку). После установления баннеров, хостер иногда забывает об этом и "временно приостанавливает аккаунт из-за перегрузки сервера", после чего опять говорит, что все нормально

4) Анти-спам фильтр не предоставляется бесплатно

Masterhost:

1) иногда ложатся крупные сайты (из-за нагрузки на сервер, которую последний не выдерживает)

2) притормаживает почтовый сервер...

3) ... как и служба поддержки =)

4) некоторые жалуются на высокие тарифы - но это уже "на любителя"...

14. 20.08.05 10:46 От: Drug

>>Но тут срабатывает другой фактор - не
>>выплачивать же неустойки сайтам,
>>стоимость размещения которых
>>приравнивается к этим 5 у.е.

Я имел ввиду бонусы не денежные а например продление хостинга на неделю бесплатно или увеличение дисковой квоты и так далее.

Но при этом если хостер не готов извиняться, то нужно черным по белому в договоре оферте писать в случае сбоя мы не обязаны вас уведомлять!

>>Мне кажется, что тоже самое
>>происходит сейчас и с ValueHost. В
>>скором времени (по моим прогнозам) на
>>лидирующее место должна выйти какая-то
>>другая компания,

А мастехост уже обогнал Валуй по кол-ву клиентов.

Что касается маджодормо я у них в конце прошло-года покупал хостинг за 7$ в месяц, но мне для работы сайта нужен был модуль в апаче mod_proxy они сказали что не могут поставить его по соображением безопасости. В общем договорились что они поставят отдельный апач за 3$ дополнительной доплаты я согласился, но через месяц они сказали что теперь отдельный апач стоит дороже!

Вот это и есть отношение к клиентам сперва не могут поставить базовый модуль, затем не предупреждая повышают тариф который ты уже оплачиваешь! Ну и суппорт у них работает безобразно если бы небыло телефона проблемы бы я не решил!

--
С уважением,
Sergey Dugin www.qwarta.ru
Тел. (095) 7722011

15. 20.08.05 12:21 От: ds

Про "мажордомо" я для примера сказал, учитывая, что _этот_ (nbsp.ru) сайт хостится именно там. :)

16. 20.08.05 14:59 От: Дмитрий Юзвяк

Сергей, я тоде имел в виду не денежные бонусы. 5 у.е. - это стоимость затрат хостинга на каждого клиента в случае бонусов. А этими $5 может быть что угодно! Начиная от продления хостинга заканчивая баннеропоказами. Это каждый хостер должен выбрать сам.

Ну Мастерхост тоже не отличается идеальной службой поддержки и устойчивостью к сбоям. У него тоже бывают немаленькие простои, также немного "притормаживает" служба поддержки и т.д. Я имел в виду, что скоро в лидеры должен выбиться новый хостер либо обновленный какой-нибудь. Это должно быть качественно новое улучшение (вроде круглосуточной РАЗУМНОЙ службы поддержки и 99% устойчивости).

А про Majordomo - это вообще отдельный разговор, т.к. наслышан я про него многое, причем, большинство не самых лестных отзывов...

Ваш комментарий

Обсудить на форуме?

Подумайте, прежде чем высказать своё мнение. Постарайтесь сделать свой комментарий полезным для других. Не используйте ненормативную лексику. Пользователи, пишущие "от нечего делать" бессмысленные наборы символов, будут блокироваться навсегда.