ContactRoot: свяжитесь с нашим админом

[Glueon]

Всем привет!
Сплоченная команда сисадминов предлагает свои услуги. В публичном режиме мы начали работать в прошлом году на Серче, там же есть несколько отзывов.

Небольшой список задач, которые мы выполняли:

1. Поиск уязвимости в проекте на PHP. Периодически в магазин без перевода денег вводились средства на счет, с последующим выводом в реальные деньги. Был проанализирован трафик для изучения сценария работы хакера, найдена и устранена уязвимость в платежном шлюзе. Проведен абузинг сервера злоумышленника.
2. Установка и настройка операционной системой с полностью шифрованным диском с возможностью разблокировки по безопасному шифрованному соединению, с упором на безопасность на базе Gentoo Hardened.
3. Объединение географически разбросанных серверов в сложные сети посредством OpenVPN с шифрованием трафика с целью обеспечения безопасного обмена информации между внутренними сервисами проекта, такими как redis, memcachedb, mysql и прочими.
4. Настройка KVM, Xen и OpenVZ виртуализации и маршрутизации совместно с VDSManager/Proxmox и биллинг системой WHM/AWBS с целью создания VPS хостинга с автоматически создаваемыми VPS-серверами. В том числе настройка возможности пробрасывания посредством VPN IP адресов с других серверов на сервера cодержащие VPS с целью предоставления IP из различных локаций, при этом храня VPS в одном месте. Выбор правильного IP производится автоматически при покупке VPS из необходимой локации.
5. Разработка PHP/Bash скриптов для автоматизации различных процессов. Как правило PHP используется для написания админ-панелей, bash для server-side скриптинга.
6. Организация автоматизированной работы выделенных серверов. Проанализированы протоколы работы ПО коммутатора и IPMI выделенных серверов. Разработан комплекс программ для управления питанием серверов, реинстала сервера с возможностью выбора O/S, автоматического подключения RescueCD, а также подсчета и визуализации расходуемого сервером трафика по данным с коммутатора. Интеграция функционала с биллинг системой WHM отдельным плагином.
7. Создание backup-платформы, с автоматическим криптованием удаленного архива, и использованием приватного\публичного ключа для разархивирования.
8. Разработка дополнений и модулей под WHM для админских целей. Например модули для ДЦ Leaseweb, Hetzner, а также Proxmox, дополнение для более гибкого управления настраиваемыми опциями.
9. Выбор стратегии администрирования сервера. Была проанализирована работа текущих администраторов компании, и дан комплекс рекомендаций по улучшению работы с сокращением издержек. Вместо ручных бекапов - bakula (с доступом по приватному ключу), мониторинг - nagios, внутренне общение - ejabberd, среда виртуализации - proxmox.
10. Помощь в выборе серверного оборудования. К нам обратился владелец bitcoin-кластера, была дана консультация по покупке оборудования и предоставлен список ДЦ где имелись подходящие условия по collocation.
11. Чистка веб-сервера от iframe и последствий взлома, поиск скрытых редиректов. После проведения работы был составлен список серверов злоумышленников, где выполнялись скипты и предоставлены заказчику данные abuse отделов с примерным текстом abuse.
12. Сокращение бюджета на ваши серверы. Партнерская программа обратилась к нам с вопросом о нерациональном использовании серверов. После анализа их текущих мощностей был составлен план переезда на более дешевое железо. Выгода составила 480 долларов ежемесячно.
13. Базовая защита от ddos. К нам обратился игровой сайт с проблемой дороговизны анти-ddos решения (проксирование) и низкого его качества. После анализа был сделан вывод о необходимости переезда на более качественное железо и ёмкий канал + небольшая настройка nginx. Бюджет на проект сократился на 70 долларов ежемесячно.

По фининансовым расчетам и некоторое подобие SLA/TOS:
Возможна оплата после работы в случае предварительного подтверждения вашей личности в пм.
Постоянным клиентам - никакой бюрократии. Работа в кредит, оплачивайте по мере совести. Доверие - наше все.
В контактах реагируем в течение часа по рабочему времени (GMT+3 ). Это то, что мы гарантируем. Обычно в онлайне продолжительное время и в будни, и в выходные.
Если вы хотите получить нашу консультацию бесплатно, создавайте тему в "Администрировании" и кидайте ссылку на нее в личку или другие контакты. Ответим не мы, так кто-нибудь другой.

Наши контакты:
jabber: slava@contactroot.com (billing, консультации)
skype: contactroot (presale-консультации)
icq: 657324100 (presale-консультации)

Стучите куда удобнее. Разберемся.

[Glueon]

Нами была реализована полуавтоматическая система рассылки почты (opt-in), которая использовалась в инфраструктуре клиента. В последствии от данного решения было решено отказаться, однако данный продукт получился достаточно хорошего качества.

Перечислим что он в себя включает:
1) Настройка серверов под рассылку (по ТоС почтовых систем, прописывание корректных записей).
2) Тестирование доходимости (inbox и spam папки популярных систем) сообщений.
3) Автоматическая проверка доменов и адресов на Black Lists (c автоматическим извещением в icq/jabber/email).
4) Скрипт рассылки. (SMTP, рассылка по расписанию)
5) Настройка сбора почты в единую почтовую программу на удаленном рабочем столе. (windows rdc)
6) Live-time контроллирование рассылки ваших писем. (по запросу)
7) Шаблонизатор текстов писем.

Система достаточно гибкая, и наши системные программисты могут добавить/убрать некоторые модули по желанию заказчика.

[Glueon]

Один из наших клиентов обратился с задачей в рамках которой необходимо ежемесячно считать 95% статистику по трафику клиентов с целью реализации burstable billing. Такой подход позволяет при анализе утилизации вашего канала различными клиентами исключить редкие пики в скорости и смотреть на более актуальную картину. Задача была реализована на языке Python. Процесс и итоги подробнее изложены в нашем блоге: http://contactroot.com/razrabotka-se...schet-trafika/

Мы занимаемся разработкой приложений под web на постоянной основе. Большой опыт в работе с роутерами/свичами и взаимодействия с хостерами, написания дополнений и API взаимодействия железа и биллинг-панелей.

[Glueon]

К нам обратился администратор партнерской программы с просьбой автоматизировать работу службы поддержки. Особенность состояла в том, что большая часть вопросов от клиентов поступала по Jabber/ICQ, и обрабатывалась тремя независимыми специалистами.
Была реализована Helpdesk-система, полностью работающая по протоколу XMPP (Jabber) с возможность подключения иных протоколов (ICQ, MSN, QQ, etc), и интеграция её в уже использующийся веб-сервис поддержки клиентов. Создавалось с повышенными требованиями к надёжности работы - тест API при каждом запуске. Модульная система работающая отдельным процессом, при необходимости возможно создание отдельного веб-интерфейса или расширение функционала.
После внедрения данной системы обработка запросов ускорилась на столько, что отпала необходимость в одном сотруднике службы поддержки. Ежемесячные издержки сократились на 500 долларов.

Помогли ему - поможем и вам

Наши контакты.
jabber: slava@contactroot.com
skype: contactroot
icq: 657324100
aim: glueon@contactroot.com
yim: glueon@yahoo.com

[Glueon]

В последнее время к нам часто обращаются за помощью в чистке системы после взлома, удаления последствий взлома (шеллов), поиск и ликвидация руткитов.
Под термином "rootkit" понимается набор утилит или специальный модуль ядра, которые злоумышленник устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы. Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
Нами осуществляется комплексная оценка взломанных серверов, определения источника проблем, ликвидация и перечень рекомендаций к владельцу сервера для невилирования подобных ситуаций в будущем. Стоит признать, что современные методики обнаружения руткитов в системе отстают от технологий вторжения, поэтому в 99% случае после любого серьезного взлома рекомендуется делать переустановку систему и настройку с нуля.

[Glueon]

Все уже наслышаны о последней уязвимости Ghost. На данный момент все популярные дистрибутивы выпустили заплатки и для решения проблемы достаточно обновить glibc, но если у вас серверов больше чем, скажем, три – делать руками это немного неудобно.

Да, можно написать очередной for цикл с ssh вызовом, устанавливающий необходимые обновления, но почему бы не попробовать использовать то, что пригодится в будущем при решении других, более масштабных задач.
В этой ситуации уязвимость – неплохой повод начать потихоньку пользоваться Ansible.

Ansible это бесплатное программное решение для удаленного управления конфигурациями. Подробнее вы можете прочитать в очередной статье нашего ведущего администратора - http://contactroot.com/pora-nachat-polzovatsya-ansible/

Напоминаем, что мы всегда осуществляем следующие услуги:
- чистку ваших серверов от последствий взлома
- перенос серверов и сайтов, восстановление любого контента из бэкапов
- устранение причин всевозможных "тормозов", оптимизация ваших серверов и vps
- внедрение автоматических решений для экономии вашего времени и для вашего бизнеса - cron, bash-скрипты, вплоть до разработки полноценного ПО.

Свяжитесь с нами:
jabber: slava@contactroot.com
skype: contactroot
icq: 657324100
aim: glueon@contactroot.com
yim: glueon@yahoo.com

[Glueon]

Одна из наших последних работ - решение для организации безопасного удаленного рабочего пространства для сотрудников.

Для этого был выделен один сервер, на котором:
1. Был поднят RAID10 для того, чтобы обезопаситься от утраты диска, но и не потеряв в производительности.

2. Организован encrypted root - т.е. полное шифрование диска. Данная возможность имеется, например, и в штатном инсталяторе Debian, однако, это решение требует наличия KVM для ввода пароля после перезагрузки. KVM стоит денег, также очень сложно ввести длинный пароль, нередко происходят ошибочные многократные нажатия клавиш и узнается это постфактум, так как вводимого пароля не видно.

Мы же используем для разблокировки зашифрованного диска небольшой SSH-сервер. После перезагрузки с помощью ключа клиент подключается к серверу по SSH, вводит одну команду с указанием пароля от диска, после диск "открывается", и система продолжает грузится дальше, после чего на стандартном порту SSH становится доступен SSH-сервер уже самой системы.

3. Для организации непосредственно рабочих мест использована виртуализация Xen. С помощью него из образов были подняты VPS сервера с установленной на них Windows.

4. Установлен и настроен OpenVPN сервер. Используется он для организации доступа к Windows VPS-серверам, что повышает безопасность в связи с дополнительным слоем шифрования, а также повышает ваш контроль - аккаунты OpenVPN можно с легкостью отключать если возникают какие-либо подозрения.

Т.е. необходимо скачать приложение OpenVPN GUI, загрузить по выданной нами ссылке набор конфигурационных файлов для OpenVPN, распаковать это в определенную папку и подключиться к серверу. После чего по специальным IP из каких-либо внутренних подсетей, например, 192.168.0.0/24 будут автоматически доступны ваши Windows VPS.

Также учитывая, что L2TP клиенты уже идут вместе с операционной системой можно заменить OpenVPN на него. Тогда для настройки необходимо добавить L2TP подключение и ввести логин с паролем и IP.

5. Для общения сотрудников настроен Jabber-сервер, который тоже доступен только через OpenVPN и не виден снаружи. Позволяет безопасно обмениваться сотрудникам сообщениями, включая jabber клиента, как непосредственно на Windows VPS-ках, так и локальном компьютере, на котором включен OpenVPN.

6. Для совместной работы с файлами на сервер устанавливается owncloud. Доступа к которому извне нет - только через OpenVPN/L2TP, что также снижает риск кражи данных.

[Glueon]

За последние недели появилось множество уязвимостей в популярных продуктах, публикуем некоторые из них в нашем сегодняшнем обзоре.

1) Множество проблем с плагинами Wordpress.
- Уязвимость в плагине WordPress CrossSlide jQuery, решения данной проблемы нет и разработка его прекращена - http://packetstormsecurity.com/files...Scripting.html
- SQL-инъекция в WordPress Survey and Poll Plugin, требуется обновить версию плагина с официального сайта - http://packetstormsecurity.com/files...Injection.html
- SQL-инъекция в WP SlimStat, необходимо обновление с сайта поддержки - http://blog.sucuri.net/2015/02/secur...and-lower.html
- Обход ограничений безопасности в WordPress FancyBox, проблема не решена на текущий момент, и мы рекомендуем не использовать данный подукт до выхода полноценного апдейта. Подробности - http://blog.sucuri.net/2015/02/zero-...ss-plugin.html

2) Обход ограничений безопасности в Node.js.
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности. Уязвимость существует из-за наличия встроенной уязвимой версии OpenSSL. Подробности не разглашаются. Требуется выполнить обновление - http://blog.nodejs.org/2015/01/26/node-v0-10-36-stable/

3) SQL-инъекция в WHMCS Admin Credit Routines.
Удаленный пользователь может выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за ошибки в WHMCS. Удаленный пользователь может выполнить произвольные SQL команды в базе данных приложения. Подробности о проблеме и варианты решения - http://blog.whmcs.com/security.php?t=83303

4) Множественные уязвимости в BIND.
Уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и обойти ограничения безопасности. Целых семь уязвимостей выявлено в данном программном продукте. Для их устранения выполните обновления с сайта производителя - http://permalink.gmane.org/gmane.net...d.announce/528

5) Обход ограничений безопасности в Squid.
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности. Уязвимость существует из-за ошибки при обработке digest-аутентификации. Удаленный пользователь может обойти ограничения безопасности. Подробности - http://bugs.squid-cache.org/show_bug.cgi?id=4066

Рекомендуем всем регулярно обновлять софт и следить за новостями из мира ИБ. Мы проводим консультации по вопросам безопасности серверов, помогаем с автоматизацией обновлений софта на серверах и разрабатываем специализированные решения.

Свяжитесь с нами:
jabber: slava@contactroot.com
skype: contactroot
icq: 657324100
aim: glueon@contactroot.com
yim: glueon@yahoo.com

[Glueon]

При управлении интернет-проектом сложно просчитать все риски на старте, а это неизбежно чревато убытками и потерями. Чаще всего самые очевидные вещи становятся таковыми только по факту приобретения опыта. Кто как не админы в курсе самых печальных историй

1) Если у вас блог (или любой другой сайт на популярной CMS), то что произойдет, если пароль к вашему администраторскому аккаунту утечет в сеть и любые данные могут быть скомпроментированы или удалены? Вы уже настроили удаленное резервное копирование? Если что-то подобное произойдет в выходные, не потеряете ли вы 48 часов до первой реакции и чем это может быть чревато? Если бекапы настроены, то в силах ли вы их восстановить сами в адекватный промежуток времени?

2) Если у вас имеется приложение для FB/VK или инфо-продукт, справится ли ваш сайт с внезапно возросшим трафиком? Установлены ли у вас проактивные системы мониторинга активности и извещения по почте/асе/джаберу/sms в случае достижения пиковых значений?

3) Если у вас бизнес, связанный с большими массивами данных (file sharing, torrent-tracker, backup service, VCS), готова ли ваша инфраструктура к балансировке между общим объемом хранимых данных и производительностью? Какие варианты решения ситуации внезапного резкого потребления трафика?

4) Если вы управляете рекламной сетью, то предусмотрен ли у вас случай увеличения в короткий срок производительности до несколько миллионов показов? Как ваша инфраструктура впишется в масштабирование мощностей? Отслеживаете ли вы доступность и нагрузку на каждый отдельный элемент, где имеется реальный трафик (landing pages, feed, statistic page)?

5) Если у вас свой интернет-магазин, то что случится если платежный шлюз (или связь между вашим сервером и gateway/API) упадет? Что будет с потенциальными клиентами и какого ваше время реакции на данную серьезную проблему?

Мы готовы делиться с вами негативным опытом наших клиентов и предупреждать убытки. Подобный аудит довольно затратное по времени мероприятие, поэтому мы не можем гарантировать мгновенные результаты. Все сроки проведения работ оговариваем в прямой зависимости от нашей нагрузки.

Работает универсальная формула:

[Glueon]

Сегодня наша команда рада анонсировать новый сервис - помощь в написания технического задания на проект (на сайты и программное обеспечение).

Если у вас имеется идея и краткое описание, как вы видите себе проект, то мы поможет формализовать её в готовое техническое задание на разработку.

Что требуется от вас?
1) Use case (варианты использования, сценарии поведения).
Какие варианты использования предполагаются у вашего ПО/сайта? Каковы сценарии действий пользователей вашего продукта, что они могут с ним делать и к чему это приводит?
2) Описание workflow (поток задач).
Какие задачи решаются вашим ПО/сайтом и каком объеме?
Какие процессы протекают в проекте?
3) Существующие примеры аналогичных реализаций.
4) По возможности описание предметной области.
Какие в проекте есть сущности и их назначения.
Есть ли в нем пользователи, состоят ли они в группах?
Есть ли какие-либо объекты - серверы, товары, книги и прочее. Каковы их функции, какие задачи с помощью них решаются.
5) Сроки реализации и дополнительные требования к проекту. Необходимость соответствия определенным стандартам и сертификациям.
6) Предполагаемый бюджет на разработку.
7) Требования к используемому в проекте стэку технологий.

Что мы предоставляем?
Обычно мы предоставляем заказчику описание в таком формате, но в зависимости от конкретного проекта некоторые пункты могут опускаться.
1. Введение.
Описание проекта для общего понимания задачи разработчиком.
2. Эксплуатационное и функциональное назначение.
Первое понятие включает в себя выгоду, которой мы добиваемся используя ПО/сайт, второе понятие - какими техническими средствами это будет осуществляться.
3. Подробное описание предметной области, ее техническое представление, связи между объектами и описание их взаимодействия.
4. Термины и определения.
В целях исключения возможного недопонимания важные понятия лучше отразить в этом разделе.
5. Функциональные характеристики.
6. Требования к надежности и хостингу.
Учет требования высокой производительности, требований к интерпретаторам и дополнительному ПО на сервере.
7. Сдача и приемка.
Описание тех условий, при наступлении которых должен состояться расчет за работу, плюс дальнейшая поддержка и исправление багов.

Стоимость ТЗ начинается с 50 USD в зависимости от сложности поставленной задачи.

Консультируем по любым непонятным моментам.
Гарантируем, что ТЗ будет понято профессиональным разработчиком.
Как дополнительная услуга: можем помочь с рекрутом кодеров и контролем разработки (как и предложить свои услуги).