English
Русский
Хостинг-провайдер 4VPS·SU опубликовал подробности масштабной атаки, которая в конце апреля и начале мая затронула сайт компании, клиентский биллинг и часть серверной инфраструктуры. История получилась из тех, где сначала появляется «всё пропало», а потом инженеры неделями разбирают последствия чужой любви к хаосу и вымогательству.
По словам компании, злоумышленники организовали подмену проксирующего сервера. Из-за этого домен провайдера временно перенаправлял пользователей на фишинговый адрес с ложным сообщением о якобы полном уничтожении инфраструктуры. Как выяснилось позже, текст о «тотальном взломе» оказался частью самой атаки. Интернет давно превратился в место, где даже паника теперь поставляется как сервис.
Атака через контейнер и повреждение 151 узла
В 4VPS·SU сообщили, что атакующие использовали эксплойт, связанный с контейнером в панели управления. После проникновения злоумышленники удалили клиентский биллинг и повредили загрузчики GRUB на 151 узле виртуальных машин.
Проблема быстро вышла за рамки обычного сбоя. Повреждённый загрузчик привёл к постоянным перезагрузкам серверов, а это уже вызвало нарушения целостности файловых систем на части VPS. Дополнительно специалисты зафиксировали отключение RAID-массивов, отключение сетевых интерфейсов на нодах и попытки активации rpcbind для дальнейших атак через SSH.
В компании уточнили, что попытка эксплуатации SSH-уязвимости успехом не закончилась: соответствующие пакеты были обновлены заранее. Иногда своевременный apt upgrade всё же оказывается полезнее, чем кажется в три часа ночи.
Диски не выдержали, часть VPS потеряна
Самыми тяжёлыми последствиями стали аппаратные сбои. Во время бесконечных циклов перезагрузки вышли из строя физические накопители на пяти узлах: три — в Кемерово, один — в Новосибирске и ещё один — в Москве.
Из-за этого часть виртуальных серверов восстановить не удалось. По таким VPS провайдер оформил полный возврат средств клиентам.
При этом в компании подчёркивают, что основная инфраструктура физически не была уничтожена, а клиентские данные в большинстве случаев сохранились. Значительная часть недоступности сервисов оказалась связана либо с отключением сетей для локализации атаки, либо с повреждением загрузчиков.
Что уже восстановили
На текущий момент, по данным 4VPS·SU, уже восстановлены основной сайт, биллинг, тикет-система и сервис аренды выделенных серверов 4DEDIC·IO. Доступ к VMmanager снова открыт, однако для VPS, заказанных в период с 21 апреля по 2 мая, часть ограничений пока сохраняется до завершения восстановительных работ.
Также снова функционирует Telegram-бот, а сервис 4domain компания обещает вернуть в строй в ближайшие дни.
Инженеры продолжают аудит инфраструктуры и устраняют выявленные архитектурные проблемы. В провайдере признают, что атака вскрыла ряд системных недочётов, которые теперь придётся исправлять уже без иллюзий насчёт того, насколько «интересными» бывают современные сетевые войны.