Fórum Root.cz
Hlavní témata => Server => Téma založeno: Poch1953 24. 09. 2024, 10:55:00
-
Zdravím,
minulou středu mě zákazník požádal o pomoc s nefunkčním webem hostovaným u Wedosu.
Během průzkumu situace se web sám rozběhl (zřejmě krátký výpadek Wedosu), ale při té příležitosti jsem v rootu webu objevil 2GB soubor s core dumpem paměti virtuálního serveru Wedosu :-O
Napsal jsem podpoře o nálezu, odpověděl mi člověk č. 1 (C1), že je vše v cajku a web funguje.
Optal jsem se tedy podruhé, co s tím core dumpem obsahujícím hesla zákazníků, odpověděl C2, že pokud mám napadený web, mám informovat své zákazníky.
V dalším mailu jsem požádal, aby mě spojili s někým ze security, kdo bude vědět, o čem je řeč.
Odpověděl C3, ať mu soubor pošlu - nevím jestli čekal, že budu přikládat 2GB do přílohy mailu nebo dump paměti jejich serveru nahrávat někam na uloz.to?
Nakonec jsme se tedy domluvili na založení FTP přístupu.
Od té doby se nic neděje, zákazníkovi nepřišla výzva ke změně hesla, na můj dotaz žádná reakce.
Je možné, že na hostingu došlo k singularitě, která se stává jednou za trvání vesmíru a jediný, kdo si toho všiml jsem já a nic se neděje (tedy kromě toho, že mám přístup k heslům desítek zákazníků Wedosu, atd...).
Ale taky si umím představit situaci, kdy každý pád serveru ukládá zákazníkům core dumpy serveru na jejich FTP nebo dokonce situaci, kdy útočník o takovém chování ví, umí ho sám vyvolat a core dumpy si takto sbírá podle potřeby.
Tím, že Wedos nedává přístup k access logům zdarma, nemám jak zkontrolovat, jestli si soubor někdo přede mnou stáhnul.
Nevím, jak Wedos přesvědčit, aby informoval zákazníky, že je nutné si změnit hesla.
Mám shánět mail na J. Grilla? Psát na NÚKIB? ÚOOÚ? Jak byste to řešili vy?
-
Pokud core dump obsahuje jakekoliv citelne hesla jez pouziva jen vase aplikace (predpokladam ze pamet virtualky je pouze vas ucet), tak je spatne ona aplikace - a namisto otravovani vesmiru by ses mel zamerit na napravu - proc tvuj zakaznik provozuje aplikaci stylem ktery neodpovida good practices (tj. nemit plaintext hesla).
-
Kontakty z https://www.wedos.com/.well-known/security.txt zjevně použít nejde, protože Wedos takový soubor nemá.
Pan Grill se tu občas vyjadřoval, tak třeba mají monitoring na slovo Wedos :-)
Pokud core dump obsahuje jakekoliv citelne hesla jez pouziva jen vase aplikace (predpokladam ze pamet virtualky je pouze vas ucet), tak je spatne ona aplikace - a namisto otravovani vesmiru by ses mel zamerit na napravu - proc tvuj zakaznik provozuje aplikaci stylem ktery neodpovida good practices (tj. nemit plaintext hesla).
Jde o webhosting, ne o VPS. Alespoň podle titulku dotazu.
-
Je to jak pise Filip Jirsak - jedna se o webhosting Wedosu, na kterem je zakaznik spolecne s dalsimi zakazniky Wedosu.
Dump pameti pochazi z virtualu, na kterem Wedos provozuje svoje sluzby a v pameti jsou tedy hesla cizich uctu.
Nedelal jsem zadnou hloubkovou analyzu, treba by se daly vytahnout i privatni klice wedosich certifikatu :-)
Staci na dump jen pustit strings a padaji z toho nazvy databazi, uzivatele a hesla do DB...
-
Staci na dump jen pustit strings a padaji z toho nazvy databazi, uzivatele a hesla do DB...
To je docela děsivé. ;-) Přemýšlím, zda na firemním webhostingu u Wedosu raději nezměnit heslo k FTP a DB lol.
-
Tady mají odkaz na kontaktní formulář na vedení společnosti: https://www.wedos.com/cs/kontakty/ Zkusil bych to. Včetně té informace, že jste z Wedosu získal hesla cizích účtů.
-
To se bohužel jako kontakt na vedení společnosti jenom tak tváří - odkaz vede na běžný kontaktní formulář
https://client.wedos.com/contact/cform.html
přes který jsem je kontaktoval poprvé a nyní si dopisuju s podporou mailem (dopisuju si sám, od nich je poslední odpověď ze čtvrtka 19. 9.)
Zkusil jsem to i přes chat s operátorem, ale ten viděl otevřený případ a odkázal mě na něj.
Možná kdybych zkoušel chat opakovaně, třeba bych narazil na někoho s kým je řeč, ale přijde mi to padlé na hlavu.
Zkusím asi Wedos fórum, tam to aspoň uvidí jejich zákazníci.
-
Případně bych je pak zkusil kontaktovat na sociálních sítích, na které se odkazují – Twitter, LinkedIn, Facebook.
Že nemají na webu security.txt je teda u webhostingové společnosti také docela ostuda.
Pořád to říkám, že nejdůležitější kvalifikací operátorů L1 podpory by mělo být rozpoznat, kdy je na druhé straně někdo na úplně jiné úrovni a předat ho na správné místo. Jestli tohle bude AI zvládat lépe, než ti operátoři, nahradí je AI.
-
Hlásím, že debatu je možné uzavřít, u Wedosu se pohly ledy (asi čtou Roota :-) a začali jednat. Potvrdili mi, že začínají obesílat zákazníky, kterých se únik může týkat.
Přikládám část mailu, který mi přišel dnes večer:
...Je mi velmi líto, že vaše hlášení nebylo včas správně zpracováno, a omlouvám se za jakékoliv komplikace, které to mohlo způsobit.
O situaci jsem byl informován kolegou a okamžitě jsem se zasadil o důkladné prošetření celé situace. Zjistili jsme, že došlo k pochybením v interních procesech, která vedla k tomu, že vaše upozornění nebylo včasně ani adekvátně řešeno, kvůli nepřítomnosti jednoho z kolegů. V důsledku tohoto přijmeme personální opatření, abychom zajistili, že v budoucnu budou naše bezpečnostní standardy i reakční doba odpovídat těm nejvyšším nárokům.
Osobně dohlédnu na zavedení dalších kontrolních mechanismů a posílení našeho bezpečnostního týmu, abychom podobným problémům předešli. Vaše hlášení nám umožnilo nejen odhalit konkrétní incident, ale také výrazně zlepšit naše interní procesy a tím zvýšit úroveň zabezpečení pro všechny naše zákazníky...
-
kolikrat jsem uz to zazil, ze nejaka vec byla zavisla na jednom cloveku a kdyz nastalo "....kvůli nepřítomnosti jednoho z kolegů...", tak se vsecko rozsypalo.
-
kolikrat jsem uz to zazil, ze nejaka vec byla zavisla na jednom cloveku a kdyz nastalo "....kvůli nepřítomnosti jednoho z kolegů...", tak se vsecko rozsypalo.
Se slzou v oku vzpomínám na kauza Banan.cz vs zlí hackeři - https://www.lupa.cz/clanky/otazky-okolo-hacku-banan-cz-zustavaji/ - tehdy kluci ušatí banánoví udělali snad všechno špatně, ale nepřiznali nic. Mlžit mlžit mlžit. :)
-
McFly: ach nocne mory z diskusnych for sa vratili. Kazdy druhy prispevok bol kaluza a banan.cz
-
a zase se na něco vymlouvájí, prý chyběl kolega. Nepoučí se a nepoučí se.
Tohle je dost závažný problém a ukazuje to na systémovou chybu, core dump a ještě přístupný uživatelům a ne jen rootu.
U wedosu se zásadně bezpečnostní věci musí hlásit přímo panu Grillovi, nebo to zveřejnit po fórech, protože jinak jsou pevností, kde přes podporu se nedokopeš nikam. My jsme jim to jednou posílali i datovkou, bylo to rychlejší než podpora.
Vtipná je i jiná věc, ne všechny programovací jazyky nulují paměť při jejím vyprázdněný, je docela sranda si alokovat neinicializovanou paměť a pak si číst, co tam je, takové ty ArrayBuffer věci jsou na to super, bohužel php je dostatečně hloupé, aby to neumělo bez dodatečné .so.
-
Jak se daný soubor s dumpem jmenoval?
-
Nazev souboru umyslne nezverejnuju, ale kdyz mi nekdo poskytne seznam domen, ktere Wedos hostuje, muzu Wedosu pomoct se skenem a v rychlosti projet vsechny hostovane domeny, jestli se dump nevali i na dalsich zakaznickych uctech :D
-
Nazev souboru umyslne nezverejnuju, ale kdyz mi nekdo poskytne seznam domen, ktere Wedos hostuje, muzu Wedosu pomoct se skenem a v rychlosti projet vsechny hostovane domeny, jestli se dump nevali i na dalsich zakaznickych uctech :D
Mám cca měsíc starý scan, hledal jsem podle IP adres kolik jim tam toho běží.. Není to všechno, ale seznam cca 31k domén můžu poskytnout..
//edit: Posláno ve zprávě..
-
Diky za seznam, ani jsem necekal, ze se nekdo ozve :-)
Trochu se bojim to pustit, abych nahodou jeste neco nenasel :-D
Asi jim dam jeste par dni, aby meli cas to uklidit, a pak to mozna zkusim.
Maily zakaznikum z dumpu uz nejspis vcera vecer rozeslali - ocenuju, ze vsem dotcenym nabidli krome omluvy take rok webhostingu zdarma!
-
Diky za seznam, ani jsem necekal, ze se nekdo ozve :-)
Trochu se bojim to pustit, abych nahodou jeste neco nenasel :-D
Asi jim dam jeste par dni, aby meli cas to uklidit, a pak to mozna zkusim.
Maily zakaznikum z dumpu uz nejspis vcera vecer rozeslali - ocenuju, ze vsem dotcenym nabidli krome omluvy take rok webhostingu zdarma!
Nemusis poustet HTTP GET, staci HTTP HEAD, pro overeni existence.
Dej tam vterinovou prodlevu a pak sem nasdilej statistiku - kolik domen / stroju(IP) / dumpu tam bylo.
-
Ten HTTP HEAD je dobrý nápad. Kdyžtak mám volnou stovku proxy, ať to jde rychleji :) Ten hosting nejspíš mají za global protection, po chvilce to jednu IP blokne..
-
Njn, to sou henti profici a profesioneli support ... lol.
Jediny co tomu jeste chybi, ze by ti meli zacit vyhrozovat ze si je prasknul.
-
A co GDPR? Nemel to OP ohlasit?
-
Ohlasist to musi ten, kdo ta data primarne ziskava = provozovatel webu. Hosting je pro nej jen zpracovatel udaju, se kterym je povinen mit na to tema smlouvu.