Safe-Host ? סייף ? מוגן ? ממש לא.
 

שלום, שמי הוא אבי. אני מתעסק בעיקר באבטחת מידע.
בתאריכים: 13-14/04/07 פנו אליי מספר אנשים, אשר מתלוננים כי יש להם בעיית מהירות, תקיעות במחשב, בקיצור, המלצתי להם לסרוק וירוסים, spys. וזהו.
הם אמרו לי שעשו זאת, אך, עדיין יש תקיעות, ובעיות.
ניגשתי לבן אדם למחשב, הרצתי את הפקודה בדוס, "netstat -ano" בקיצור, גיליתי שרץ על השרת של Safe-Host.co.il תוכנת IRCD, שהוא מחובר אליה בלי לדעת.
בדקתי אצל האדם השני והשלישי, וכן, גם הם.
בדקתי את מספר התהליך(PID), ראיתי שרץ קובץ בשם iis5.exe, גיליתי את המקור שלו, פתחתי אותו עם Explorer PE, ובדקתי את הקובץ.
הקובץ הזה נראה כבוטנט.

* בוטנט - תוכנה זדונית, שמאפשרת לבן אדם מרחוק לשלוט לך על המחשב, לפאקט[DoS], לסרוק מחשבים, לפרוץ מחשבים, והכל אוטומטית.

חפרתי עוד קצת, וגיליתי פרטים נוספים את הכתובת IRC, את הפורט, את החדר.
בקיצור, לקוח של Safe-Host הריץ תוכנת IRCD, ודרכה ביצע את אחסנת הבוטים.

אני כאזרח שומר חוק, פניתי אל נדב, הבעלים של Safe-Host, פניתי אליך בגישה יפה, מכובדת.

אני פניתי אליו עם התלונה הזו, הבאתי לו פרטים של תוכנת ה IRCD שמורצת על השרת שלו, את החדר שהוא משתמש למטרת האביוז ה"לקוח". וגיליתי את זה ע"י שהרצתי להם את הפקודה netstat -ano וגיליתי את התליך, ושזה קשור לשרת שלו, והנה התגובה שלו הייתה בתוכנת המסרים MSN.

הבן אדם רצה פשוט תצלום-מסך[Printscreen] של הדוס עם "netstat -ano" ושהאיפי שלו מופיע שמה.
אחרת, הוא לא מתייחס לתלונה, הסברתי לו, שאין כרגע תצלומי מסך, כי הם לא מעזים להתחבר לאינטרנט אחרי שאמרתי להם את זה. כי הם משתמשים במחשב למטרת כרטיסי אשראי, לקניות וכו' והם לא רוצים להסתכן.

בקיצור, ראיתי שאין עם מי לדבר, פניתי לחבר שלי, מ Expert Serv שהוא בחור אחלה, והוא אמר לי שהוא לא מארח את החברה הזו, אבל הוא יודע, הוא שוחח עם הבחור שמארח אותם שהוא "loads" אבי מחברת LOM, ופניתי אל אבי. ואבי ניגש, וטיפל בבעיה, סגר את השרת ושוחח עם נדב.

תודה רבה ל Expert Serv שאמר לי מי מארח את החברה הזו,
ולאבי, שביצע את הפעולות במקום נדב - "סייף" הוסט.

אז חברה, תחשבו טוב אם ללכת לחברה "Safe" Host, אחסון "בטוח".

נ.ב: גם רואים לפי הידע של הבחור, בציטוט שהבאתי , שרץ על השרת שלו שרת מירק ..

מירק זה קליינט פשוט, שמאפשר להתחבר לשרתי IRC.

חבל שזה ככה..
מקווה שהמצב ישתפר.

זה מסביר הכל, היה איזה שרת שמאוחסן שם ויום אחד איזה מישהו Mrtiti פרץ לשם.... (לשרת IRC)
הוא אמר לי שיש לו IRCD Shell על השרת הזה, ולא הבנתי על מה הוא מדבר..
עכשיו אני מבין..
נקווה לטוב...

ביקשתי הוכחות, וכאשר קיבלתי הוכחות השרת נסגר.
כמו ששמת לב אין לי ידע נרחב בשרתי IRCD ולכן אני לא מספק את השירות הזה, אבי פנה אליי והציג לי הוכחות שהשרת מירק מריץ דברים לא חוקיים, השרת נסגר והלקוח יטופל.
אם בשביל לבקש ממישהו הוכחה שהלקוח שלו מריץ דברים לא חוקיים פותחים ביקורת אז הגענו למצב לא טוב.
נ.ב אחת החשדות שלי כלפייך היו שהוספת אותי לפני ארבעה-שלושה ימים אני לא זוכר בדיוק ואמרת לי שפרצו לך ולחברייך רק אתמול היום.

מקווה שהבנת, המשך יום טוב.

הייתי שמח לעזור לך והייתי ממליץ לך לא לסיים עם זה ככה, תבדוק במחשבים שבהם העניין של הפריצה קרה, אם נגרם נזק או משהו, ואם צריך, להגיש תלונה כנגד אותו לקוח של סייף-הוסט.

חבל לשמוע עליהם ככה.. אני שמח שבסופו של דבר פתרת את הבעיה.

בהצלחה.

אני לא מכיר אותך בכלל, הוספתי אותך לפני יומיים לתוכנת ה MSN בשבליל לקבל הצעת מחיר,
אך אם לא הייתי פונה לאבי, הבן אדם היה ממשיך לחגוג.

אני עדיין לא הבנתי איך אנשים נדבקו מאותו CLIENT...

זה מה שנקרא בוטנט,
בפקודה אחת כמו:
סתם דוגמא האיפי שלו זה 212.199.23.23
אז הוא סורק את הטווח: 212.199 ומחפש חורי אבטחה של dcom135.
וככה הוא מפיץ את עצמו.

ועוד שאלה קטנה, השם של החדר היה mix1 במקרה?
כי הייתי באיזה שרת IRC מזמן של safe host ונכנסו לשם טונה בוטים שפתחו לעצמם חדר :|

כן, החדר זה mix1, הם פשוט נכנסים לבד. לאיפי שהוגדר להם.

יכול להיות שאני בתור לקוח של נדב נכנס למירק ולא רואה את זה אפילו?או שרק חייב לאותו חדר לפחות פעם אחת.
אגב, אני לא משתמש במירק אבל ברצוני לדעת.

אתה לא מדבר בכלל קשור לעניין.
מה אתה רוצה ?

מצטער על הבורות, אני לא מבין בכל זה.
שאלתי כי רציתי לדעת, ישר לתקוף?

השרת הזה מורץ רק מס' ימים ולפניו לא הורץ שום שרת IRCD על השרת.

א. מי תוקף ?
ב. אם אתה יודע שאתה בור בנושא הזה, אז תלך לקטגוריה אחרת ותשאל לפני.
או הודעה פרטית אצלי ואסביר,
אל תגיב לא קשור בשביל להגן עליו, ואז תגיד שאתה בור ..

דווקא כן רץ, יש שרת IRC שקיים כבר שבוע וחצי, irc.bbf.co.il.

טוב שהזכרת לי כמעט שכחתי מהעניין הזה, אבל זה לא לעניין פה, מישהו בעל עסק די מוכר שנמצא גם בפורום הריץ לי על השרת שרת מירק ושרתי וונטרילו לא חוקיים. העניין סודר כבר מלפני כמה ימים. ואל תגיד שזה בגלל אבטחת השרת, הייתה לו גישה.

היית לו גישה, ובגלל עצלנות, או לא יודע מה ניסית לעשות, הוא המשיך להפיץ, רק שפניתי לאנשים שמעליך אז טיפלת בבעיה.

אז מעניין אותי מה הלקוחות שלך עכשיו צריכים לחשוב כשהם רואים שאתה אומר שיש לעוד מישהו גישה לשרת שלך (במידה ומדובר על גישה מלאה...)...שלא נדבר על זה שהוא מריץ דברים לא חוקיים..

וממ לפותח האשכול, בכללי אם נגיד והייתי במקום נדב, והיית אומר לי כי חשבון זה וזה מריצים ככה וככה וזה לא חוקי, מבלי לקבל הוכחה מוצקת גם אני לא הייתי מתייחס בכלל למה שאתה אומר...
(נכון, אני הייתי אולי בודק בכל מקרה אבל נגיד ולא היה לי את הידע לבדוק ולמצוא שאתה צודק, בלי הוכחה מוצקת לא הייתי סוגר לאותו הלקוח את השרת).

מקווה שתפתרו את העניין...

המשך יום נעים ושבוע טוב!.

כנראה לא הסברתי את עצמי נכון, אין לו גישה לשרת עצמו אלא גישת SSH, למה יש לו? את זה אני לא מעוניין לפרט, והוא כמובן לא לקוח ובכלל, זה בן אדם שעבדתי איתו כבר בעבר והוא מוכר פה בפורום ובכלל בתחום ובחיים לא חשבתי שהוא יעשה דבר כזה.
ובקשר לזה שלא בדקתי את העניין, תאמין לי שלא היה לי זמן כי חצי דקה לאחר שהוא דיבר איתי אבי כבר פנה אליי.

יותר גרוע.

פותח האשכול, באיזה זכות אתה מפרסם ביקורת? קרא חוקים!
כמו כן, אתה עכשיו חושף סודות של החברה

אז תשתמש בכפתור "דווח". לא סתם הוא קיים.

שבוע טוב מר.בוריס.

קרא חוקים ותבין, הדווח הועבר לפני ההודעה.

עריכה:
קבל הכונה (חוק 5)

אין לפתוח ביקורת אם אינך לקוח.

אני נועל את הביקורת ובאופן חד פעמי לא מצנזר.
שישמש דוגמא לאותם ילדים שחושבים שהם יודעים לתחזק שרת.

שבוע טוב.