O tym, jak OVH naraził mnie na kilka tysięcy złotych strat i kilka zarwanych nocy

To kolejny wpis z serii „O tym, jak…”. Tym razem chciałbym przedstawić wam moją historię z firmą OVH.com.

Od listopada 2011 dzierżawiłem serwer dedykowany z oferty Kimsufi.pl. Współpraca z firmą układała mi się bardzo dobrze, z serwerem nie było żadnych problemów, za wyjątkiem jednego, drobnego padu sieci w lutym, który trwał kilkanaście, może kilkadziesiąt minut. Usługi OVH polecałem wszystkim znajomym, którzy poszukiwali profesjonalnego i stabilnego rozwiązania. Teraz dałbym się za to pociąć.

Ale zacznijmy od początku…

12 maja br. na moim serwerze został wykryty „atak hakerski” (hack detection), serwer został zablokowany i uruchomiony w trybie rescue-pro, który umożliwia dostęp do danych na serwerze w przypadku wystąpienia np. jakiejś awarii.

W panelu znajdowała się następująca informacja:

Twój serwer uległ włamaniu 1 razy od dostarczenia.

Jest to pierwsze ostrzeżenie wysłane po wykryciu problemu z serwerem. Serwer został wyłączony i uruchomiony w trybie ‚Rescue’.

Zalecamy więc sprawdzenie logów na serwerze i usunięcie błędów w zabezpieczeniach będących przyczyną problemu.

Jeśli usunąłeś problem, możesz „kliknij tutaj” aby ponownie uruchomić serwer dedykowany.

Następnie będziesz mógł wyłączyć tryb ‚Netboot Rescue’ i zrestartować serwer.

Jeśli pomimo twojej interwencji problem ten powtórzy się, będziemy zmuszeni ponownie zablokować serwer bez możliwości odzyskania danych. Będziesz mógł wykonać reinstalację serwera.

Po wciśnięciu przycisku „Kliknij tutaj” komunikat znikł, ale serwer i tak nie chciał się uruchomić. Próba zmiany obrazu netboot kończyła się informacją, że zmiana jest niemożliwa.

Wysmarowałem maila do supportu:

Witam,

Dzisiaj o 18:20 mój serwer został zablokowany przez „Hack Detection”. Nie mogę nic zrobić z moim serwerem, netboot jest ustawiony na „rescuse-pro” i każda próba zmiany kończy się komunikatem „Stan serwera blokuje tą funkcję”.

Nie byłoby w tym nic dziwnego, gdyby nie to że blokada serwera to najprawdopodobniej false-positive ze strony waszych systemów, gdyż ani ja, ani mój znajomy który posiada u mnie konto WWW, nie wykonywaliśmy żadnych ataków na inne serwery.

Ponadto zaintrygowała mnie pewna informacja w panelu o takiej treści: „Jeśli pomimo twojej interwencji problem ten powtórzy się, będziemy zmuszeni ponownie zablokować serwer bez możliwości odzyskania danych. Będziesz mógł wykonać reinstalację serwera.”.

Czy to oznacza, że w przypadku wykrycia przez wasz system następnego false-positive, bezpowrotnie stracę dostęp do swoich, powtarzam: SWOICH danych? Jeżeli tak, to czy podobną taktykę stosujecie w swojej głównej ofercie na stronie ovh.pl? Czy da się temu w jakikolwiek sposób zapobiec?

Pozdrawiam i oczekuje na szybką odpowiedź.

Później zabrałem się za uważne przeglądanie logów… Cóż, rzeczywiście muszę przyznać, że jeden z moich znajomych próbował dokonać ataku… Jednak reakcja OVH była dość niefajna – zablokowali serwer bez żadnego ostrzeżenia, narażając mnie na łączne straty w wysokości grubo ponad 3 000 zł (zarobki z usług oferowanych na serwerze, rekompensaty dla klientów, koszta awaryjnej maszyny i stracony czas na przenoszenie danych na nią i jej konfiguracje). Kompletnie dyskwalifikuje to wykorzystywanie serwerów OVH do oferowania usług hostingowych pod swoim brandem. Bo co się stanie, jeżeli jeden z kilkuset klientów nagle będzie próbować bawić się „zuymi” skryptami?

Powracając do tematu: wiedząc, że najprawdopodobniej nikt mi nie udzieli szybkiej pomocy, zwróciłem się o nią do Olesa, CEO OVH. Wcześniej chętnie udzielał mi (i właściwie nie tylko mi) odpowiedzi na pytania dotyczące oferty.

Pozwolę sobie zacytować post użytkownika juvenito z forum wht.pl:

webh.pl: Według mnie „hack detection” w OVH skreśla ich do jakiegokolwiek zastosowania ;-)

juvenito: Tak jak mówi Webh.pl, wtedy to użerasz się i nie stajesz się ich klientem a wrogiem.

Idealne podsumowanie.

Rozmowa numer 1

Wypowiedzi nie są wyrwane kontekstu, to po prostu dziwny sposób grupowania wiadomości przez twittera.

Dalej przeszliśmy na priv, Oles poprosił mnie o adres IP serwera, później potwierdził atak. Gdy poprosiłem go o odblokowanie serwera, kontakt się urwał.

Zwróćcie uwagę na wręcz bezczelne odpowiedzi: „Źle zaczynasz rozmowę”, „Hack? Kochany”. Warto wspomnieć, że rodzice Olesa byli polakami, a więc najprawdopodobniej nie ma on zbyt dużych problemów z językiem polskim i można wykluczyć nieznajomość języka.

 

Dwa dni później otrzymałem odpowiedź od supportu OVH – wreszcie!

Witam,

Blokada została nałożona ponieważ z Pana serwera wychodził ruch UDP na port 80 innego adresu IP. Nie musiało to być wcale świadome działanie Pana czy Pana kolegi a mógł to być jakiś szkodliwy skrypt, który wykonywał taki atak.

Przykładowe logi z takiego ruchu z Pana serwera otrzymał Pan w zgłoszeniu awarii wraz z informacją o blokadzie.

Ma Pan w tej chwili dostęp do swojego serwera przez ftp. Powinien Pan sprawdzić w logach systemowych co powodowało taki ruch wychodzący i napisać do naszych administratorów w tym tickecie prośbę o odblokowanie maszyny i informacje co mogło być powodem tego problemu oraz co zamierzają Państwo zrobić aby zapobiec takim sytuacjom w przyszłości. Nasi administratorzy podejmą decyzję o odblokowaniu Państwa maszyny.

W przypadku gdy sytuacje takie będą się powtarzać to możemy zablokować serwer, ale dane będzie Pan mógł odzyskać również przez ftp ponieważ w tym trybie będzie Pan miał dostęp do tego serwera.

Dokładnie takie same zasady obowiązują również dla serwerów z oferty ovh.pl.

W skrócie: blablabla, jak będzie nam się chciało to ci odblokujemy, blablabla, klientów którzy zostawiają u nas kilka tysięcy złotych miesięcznie traktujemy tak samo, blablabla kupa.

Z takimi samymi problemami napotkali się inni klienci tej firmy. Nie będę jednak tego, gdyż to temat rzeka.

 

Dyskryminacja klientów tańszej oferty

Support OVH: @cue twoje zgłoszenie zostało rozpatrzone w ciągu kilku godzin, to normalny czas odpowiedzi na tego typu zgłoszenie, podobny czas odpowiedzi byłby w tygodniu.

@mikel twoje zgłoszenie także było rozpatrzone w podobnym czasie.

jedynie Kloda czekał do poniedziałku ponieważ to serwer Kimsufi.

Źródło: http://forum.ovh.pl/archive/index.php/t-15028.html

Oles, Oles…

Powróćmy jeszcze do tematu właściciela firmy. Znajomy poruszył mój problem przy okazji, gdy Oles chwalił się wprowadzeniem do oferty Kimsufi serwerów VPS.

Rozmowa numer 2

Dla zasady wstawiam tłumaczenie (najbardziej bezczelne odpowiedzi zostały wyróżnione na czerwono):

Oles: VKS są od teraz dostępne w (lista krajów)

Jakub: Co znaczy „1 vCPU”? Ile to GHz?

Oles: 2GHz / vCore

Jakub: Polityka blokowania serwerów w przypadku wykrycia ataku jest taka sama jak w serwerach dedykowanych? Bo niestety widzę, że blokujecie serwery bez wcześniejszego kontaktu z klientem. Przez to oferowanie usług hostingowych w waszym DC jest niemożliwe.

Oles: Jeżeli jesteś hakerem to nie jesteś mile widziany

Jakub: Nie, nie jestem hakerem, ale mogę mieć klientów, którzy mogą wykonać atak bez mojej wiedzy.

Oles: Nie rób interesów z hakerami, to będzie ok…

Jakub: Macie jakieś tajne sposoby na rozpoznanie (w trakcie składania zamówienia), czy klient jest hakerem czy nie?

Oles: Myślę, że uzyskałeś odpowiedzi na pytania, nara. 

Jakub: Myślę, że nie dbasz o klientów, nara.

(i tu Oles trochę zszedł z tonu, ciekawe, prawda?)

Oles: Uniemożliwiamy wykonywanie ataków z naszych serwerów, ponieważ nasze serwery mogły by położyć niejeden inny serwer.

Jakub: Wiem, też nie lubię hakerów, ale uważam że nie powinniście blokować serwerów, bez wcześniejszego kontaktu z klientem. Ok, zapomnijmy o tej rozmowie

(tu Oles zorientował się, że jest poruszany mój temat)

Oles: Nie masz żadnych problemów ze swoim serwerem, poruszasz wątek o którym nic nie wiesz (sic!). 

Jakub: Zgadza się, z moim serwerem wszystko w porządku, ale boje się dalej utrzymywać swoje usługi u was, właśnie z tego powodu.

Generalnie: Wystarczy wejść na http://forum.ovh.pl/, otworzyć w dowolny wątek i… czytać… ;]

Podsumowanie, czyli o co tyle szumu

Rzeczywiście – zawiniłem. Chodzi tu jednak o politykę OVH w przypadku wykrycia ataku. Przez nią straciłem ponad 3 000 złotych. Przykładem dla OVH może być Hetzner, który blokuje serwer tylko w przypadku „drastycznych” przypadków lub w przypadku braku odpowiedzi na maile klienta ws. ataku.

 

Pozwolę sobie jeszcze przekleić komentarz Jakuba Furmana, który idealnie trafia w sedno sprawy:

Ja od siebie dodam, że rozmowa nie była celowo sprowokowana do tego celu – zwyczajnie sam korzystam z ich usług i irytuje mnie takie podejście CEO. Tak jak wspomniałem, no zwyczajnie nie da się w ich DC świadczyć hostingu ani nawet udostępniać komuś konta. Wiadomo, nie przed wszystkim da się ochronić zanim atak nastąpi – czasem można zadziałać jedynie po ataku i usunąć użytkownika. Tutaj właśnie rola DC powinna ograniczać się do powiadomienia, prośby o stanowisko/zobowiązanie, nie powinno być tak, że najpierw blokada, potem się tłumacz i 3 dni offline przy okazji – tak jak mówiłem, mając dużo kont wyleci cały dedyk za przewinienie usera, gdzie spokojnie sam właściciel dedyka mógłby go wywalić – ale po co, lepiej całą maszyne.

Korzystam z ich usług i ta sytuacja mnie wystraszyła, tym bardziej, że to ich normalna polityka, wystarczy poczytać na ich forum czy też forum Kimsufi – maszyny lecą nawet za udostępniony przypadkiem zawirusowany .exe po HTTP czy dziurawego WordPressa…

Masowa zmiana fragmentu plików tekstowych – Linux na przykładach

Czasem przychodzi potrzeba zastąpienia jakiegoś framgentu pliku tekstowego innym wyrażeniem. Z pomocą przychodzi konsolowy program sed.

Funkcje wywołujemy komendą:

sed -e 's/etch/lenny/g' -i /etc/apt/sources.list

Gdzie:

etch – tekst do wyszukania

lenny – tekst do zastąpienia wyszukanym słowym kluczowym

/etc/apt/sources.list – plik, na którym mają być wykonywane zmiany. Oczywiście nic nie stoi na przeszkodzie, by podać kilka lokalizacji lub użyć znaku „*”

 

[AKTUALIZACJA] O tym, jak dzięki wykopowi mój serwis odwiedziło milion osób…

I to w ciągu tygodnia! Rzeczywiście, może się to wydawać nieprawdopodobne. Ale prawdziwe. Chodzi o stronę z „żywym” zegarkiem, który niedawno wszedł na główną wykopu oraz do popularnych.

Intuicja podpowiadała mi, że „główny” serwer wkrótce padnie, więc warto by było zrobić mirrora. Nie myliłem się. Zaraz po tym, nie wiedząc czemu, ludzie zaczęli się wymieniać linkiem do mojej strony, zamiast do strony źródłowej. Link wędrował od twittera i tablic użytkowników do małych fanpejdżów mających po klilkaset fanów, średnich, ciut większychaż do fanpejdżów telekomów mających milion fanów, nie wspominając o forach, blogach i innych serwisach.  Najprawdopodobniej te ciut większe i ogromne serwisy miały największy wpływ na ten cały buzz.

A jak wyglądają statystyki odwiedzin?

O wszystkim zorientowałem się dopiero po wielkim „bum” (który był w niedziele i poniedziałek), gdy load na moim serwerze można było liczyć w dziesiątkach. Pewnie teraz wszyscy mnie zjadą, że co ze mnie za admin który nie zorientował się że coś jest nie w porządku. Otóż to, ale serwer nie odnotował tragicznego spowolnienia, chodził w miarę sprawnie… Warto jednak wspomnieć, że na moim serwerze działał wtedy tylko player, pliki z filmem znajdowały się na głównym serwerze (zmieniłem providera gdy serwer odzyskał on sprawność). Problemy się zaczęły, jak przeniosłem pliki z powrotem na swój serwer, gdyż „główny serwer” znów padł. Po tym mój serwer również nie wyrabiał z ilością odwiedzin i… tak, zgadza się, on również padł.

Ale ten podrozdział miał być o statystykach, nie o serwerach. Może najłatwiej będzie, jak przedstawie wykres:

Wykres odwiedzin w czasie

Jak już wcześniej wspomniałem, o wszystkim dowiedziałem się dopiero we wtorek w nocy czyli po całym bum, dlatego statystyki które przedstawiam nie pokazują całego ruchu. Tytułowy „milion” został wzięty z szacunków.

Wejścia wg. krajów

Wejścia wg krajów na mapie

O dziwo, z Polski pochodzi zaledwie 5% wejść. Najwięcej ruchu pochodzi oczywiście (a może nie) z USA – 12%, na drugim miejscu plasują się Hiszpania i Czechy (10%), trzecie miejsce – Francja i Węgry (9%), czwarte: Niemcy (8%). Z Rosji, od której przecież to wszystko się zaczęło, pochodzi niecały jeden procent.

Strony źródłowe

Wejścia z innych stron

Najwięcej wejść wygenerował oczywiście Facebook, na drugim miejscu portugalski klon digg.com – meneame.net z 790 „kopnięciami” (w przeliczeniu na polskie wykopy wyszłoby ok. 1000 kopnięć). Co ciekawe – strona została 14 razy dodana na reddita z czego raz trafiła na główną.

Warto również wspomnieć, że w poniedziałek i wtorek na blog weszło 5000 osób.

Ok, a jak serwer sobie poradził z taką ilością wejść?

No i właśnie tu jest problem – mój serwer właśnie sobie z tym nie najlepiej poradził, w końcu ruch można było porównywać do.. hmm… kilkudziesięciu wykop-effectów. Ruch w godzinach szczytu można było liczyć w Gbps

Na szczęście przypomniało mi się, że posiadam kilkaset złotych w e24cloud.com za testy wersji beta. Szybko utworzyłem tam chmurę i… Muszę stwierdzić że jeden dość mocny serwer w chmurze nie może się równać z kilkoma dedykami. Fakt, ceny kosmos, ale nikt nie powiedział że ja za to płace… :P

Jakieś profity?

Tak, do obserwowanych na twitterze dodało mnie 300 osób. Oprócz tego dostępny transfer w OVH zmalał o 7TiB :P

Ok, a co dalej?

Poczekam aż ilość wejść na stronę zmniejszy się do kilkuset na dzień, wtedy trafi ona na mój serwer.

Podziękowania

Na koniec chciałbym podziękować Jakubowi Furmanowi za pomoc w opanowaniu całego ruchu :P.

 

Aktualizacja

Moją strone pokazano we Fińskiej telewizji publicznej – pacz tutaj: http://areena-beta.yle.fi/ng/areena/tv/1514305, od 07:45

Dlaczego nie warto kupować obserwujących na Twitterze i lajków na Facebooku?

Pamiętasz swoje początki z Twitterem i Facebookiem? Pamiętasz jak zaczynałeś obserwować swoich znajomych, a oni zaczęli obserwować ciebie? A czy pamiętasz jak zazdrościłeś swoim znajomym, że mieli więcej obserwujących/lajków od ciebie? Co wtedy zrobiłeś? Większość ludzi, chcąc dorównać innym, po prostu kupiłaby obserwowanych, zwłaszcza że ceny wahają się w okolicach 20 gr/os. Dlaczego jednak nie warto tego robić?

We wpisie będę mówił głównie o Twitterze, jednak informacje tu zawarte odnoszą się również do Facebooka.

Kupowanie poleconych nie jest dobrym pomysłem

Widziałeś kiedyś blok telezakupów? Reklamowane tam przedmioty wydają się być fajne i niezwykle potrzebne, jednak gdy przyjdzie co do czego i otrzymamy przesyłkę, to zakupiony przedmiot ląduje w kącie. Tak samo działają serwisy oferujące sprzedaż obserwujących. Z początku mamy wrażenie, że jesteśmy na fali popularności, ale po jakimś czasie dojdziemy do wniosku że to była chybiona inwestycja.

Eeee, ale ja kupiłem 16243 followersów i kij ci w oko!!!111oneoneone

No właśnie. Kupiony obserwator to nie to samo co… nazwijmy to „uczciwie zdobyty”. Dlaczego?

  • Kupiony obserwator nie przeczyta twoich tweetów,
  • Nie przekaże dalej twojego tweetnięcia (RT),
  • Nie wie kim jesteś i czym się zajmujesz,
  • Nie kliknie w twój link,
  • I właściwie – nawet nie musi być człowiekiem
A więc jak zdobywać prawdziwych obserwarotów?

Prawdziwy obserwator stanowi przeciwieństwo kupionego obserwatora. Poniżej przedstawiam kilka rad, jak zdobyć tych prawdziwych obserwatorów:

  • Promuj swoje konto na twitterze (również w realnym świecie…)
  • Pisz często i dodawaj wartościowe treści
  • Utrzymuj kontakty z innymi użytkownikami twittera
  • Jeżeli masz coś bardzo ważnego do przekazania i chcesz by dotarło to do jak największej liczby osób, poproś o RT
  • Używaj tzw. hashtagów (#). Dzięki temu dotrzesz również do osób, które cię nie obserwują
  • Dodaj swoje zdjęcie jako avatara – ludzie będą chętniej dodawali cię do obserwujących, jeżeli bedą wiedzieć kogo dodają
  • Zacznij obserwować innych – zdecydowana większość użytkowników odwdzięczy się tym samym (np. ja ;P)

 

Na podstawie artykułu „Is buying Twitter followers the answer?”

Recenzja nowego GG 11 – powrót do korzeni?

Przed chwilą została udostępniona beta komunikatora Gadu-Gadu GG. Od drugiego kwartału zeszłego roku była zapowiadana jako „powrót do korzeni”. Cóż, zobaczmy czy developerzy GG dotrzymali słowa.

Przenieśmy się najpierw kilka lat wstecz, gdy w Polsce królowały wersje 6.x i 7.x. Prosty w obsłudze program, bez zbędnych bajerów i wodotrysków, z nieinwazyjnymi reklamami. Zużycie RAMu przez nie było praktycznie niezauważalne (tzn. nie większe  niż 20 MiB). I gdyby nie złośliwe praktyki GG (czyli problemy z numerkami > 17 000 000), to pewnie wciąż korzystałbym z wersji 7.7.

Tak wyglądało Gadu-Gadu w wersji 7.7

A tak wygląda GG dzisiaj

Dziś GG to potężna kobyła, której sam instalator zajmuje 120 MiB w pamięci RAM (sic!), natomiast komunikator 300 MiB. Właściwie nie komunikator, tylko coś co ma (albo przynajmniej miało) łączyć funkcje kilku portali społecznościowych (MG i GG.pl, GGLive), telefonii VOiP, radia internetowego, panelu z wiadomościami i pogodą oraz innych, wkurzających dodatków (ex: graficzne opisy). Możliwość rozmowy miała być tylko dodatkiem.

 

Dobra, dość moich wywodów (acz mógłby to by być dobry materiał na osobny wpis). Developerzy, wraz z wersją jedenastą, zapowiadali „powrót do korzeni”. Zobaczmy, czy dotrzymali słowa.

 

Instalacja

Interfejs instalatora bardzo przypomina instalator Skype. Nie ma tu żadnych pytań na temat miejsca instalacji i skrótów. Wystarczy zaakceptować licencje i kliknąć na przycisk „Zainstaluj”.

Instalator GG bardzo przypomina swoim interfejsem instalator Skype

Pierwsze uruchomienie

Przy pierwszym uruchomieniu program zadaje ciut za dużo pytań, prosi również o uzupełnienie danych w katalogu i danych statystycznych. I przepraszam bardzo, ale naszym Panom developerom się chyba w głowach poprzewracało z polityką prywatności. Dane dotyczące wieku, płci, miasta w którym mieszkam, wykształcenia i zawodu muszą zostać podane. Co więcej: wszystkie dane będą widoczne w katalogu publicznym i nie będzie można ich ukryć. I koniec, kropka. A żeby było tego mało, to by móc korzystać z komunikatora, trzeba wyrazić zgodę na „Otrzymywanie informacji handlowych pochodzących od GG Network i innych osób (…)”. Brakuje jeszcze ptaszka, w którym użytkownik oświadczałby, że zrzeka się całego swojego majątku na rzecz GG Network i że wyraża zgodę na uprawianie seksu analnego z murzynem dwa razy dziennie przez 20 lat od chwili zaakceptowania licencji.

Polityka prywatności

Pierwsze wrażenie

Po uruchomieniu aplikacja zajmuje… Jak widać… ~250 MiB. Tak, wiem że w dobie komputerów mających po 4 GiB i więcej narzekam, jednak komunikator to nie system operacyjny, który bądź co bądź, zajmuje tyle samo pamięci (tzn. Fedora 16 i Windows 7).

Zużycie RAM

Ogólnie aplikacja chodziła topornie, po kilku minutach wykrzaczyła się i nie dała się więcej razy uruchomić.

Co dalej?

Wracam do WTW. Zarząd, niestety, nie widzi tego że GG straciło swoją pozycje na rzecz chociażby XMPP, o FB Chat nie wspominając. I zamiast coś z tym zrobić, wypuszczają kolejny shit zapchany reklamami. A bańka rośnie, oj, rośnie…

blog built using the cayman-theme by Jason Long. LICENSE