= Historia dnia i jeden serwer dedykowany OVH =
Dzień temu otrzymałem wiadomość e-mail od bota OVH, że coś jest podejrzane na jednym konkretnym serwerze dedykowanym. Sprawdziłem niektóre szczegóły tego e-maila i wydaje się on uzasadniony, więc nie miałem powodu, aby uważać go za phishing.
Wszedłem w to i zobaczyłem wiele prestashopów i wordoresów, a także kilka niestandardowych aplikacji. Ok, pilne zgłoszenie do wglądu zostało wysłane do zespołu programistów i naprawili to.
W e-mailu z ostrzeżeniem od OVH znajdowała się część informująca, że powinienem odpisać, gdy problem zostanie rozwiązany. Ten pominąłem, ponieważ nie zepsułem wewnętrznych procedur postępowania w takich sytuacjach, ani nie miałem prawdziwego powodu, aby to robić, gdy zostało to naprawione.
Już następnego dnia przełączyli serwer w tryb ratunkowy.
Musiałem ponownie zamontować dysk i całkowicie wyłączyć zhakowaną aplikację.
Chociaż lubię awaryjne narzędzia do przywracania serwera, jestem strasznie zszokowany, ponieważ nie podano informacji o wyłączeniu całej maszyny. Wszelkiego rodzaju „masz 24 godziny na naprawienie tego albo zamkniemy instancję”
To jest na granicy legalności. Dedykowany serwer może obsługiwać wiele aplikacji należących do wielu organizacji, a ponieważ jedna z nich wyzwala alert (100% fg false ), cały serwer musi być.
OVH
Teraz, gdy już wystarczająco narzekałem, czy istnieje podobna polityka obsługi niektórych alertów monitorowania?
Pierwszy raz to widzę
Chociaż lubię mówić o OVH, w tym przypadku nie jest to ich wina.
Masz maszynę? Napraw to od razu i daj im znać. W rzeczywistości chodzi o to, że muszą ci powiedzieć, zanim faktycznie się dowiesz.
Jak powiedziałeś, ta maszyna może mieć wiele aplikacji należących do wielu organizacji. Rób lepiej.
Jestem pewien, że to, co zrobili, zostanie wyraźnie określone w ToS iw rezultacie całkowicie legalne, ale otrzymałeś od nich powiadomienie o tym i zignorowałeś je?
Jeśli zrezygnowali z tego, co uważali za złośliwą działalność w celu ochrony Twojej organizacji, i nie mieli żadnych informacji, które mogłyby udowodnić, że jest inaczej, wydaje się, że właśnie to powinni byli zrobić.
Nie ma magicznego wskaźnika dla „nadużyć/nie nadużyć”. Są to po prostu pojedyncze przypadki, często oparte na zgłoszeniach osób trzecich. Tj. zazwyczaj firma hostingowa nie może samodzielnie zweryfikować, czy problem został rozwiązany. Mogą nawet nie mieć gotowych narzędzi do sprawdzenia, a na pewno nie mają czasu, aby zrobić to ręcznie. Dlatego potrzebują od ciebie odpowiedzi.
Miałem wiele różnych incydentów nadużyć, zawsze je leczyłem i natychmiast reagowałem i nigdy nie zdarzyło się, aby firma hostingowa samodzielnie ingerowała w serwer. Kontaktuję się z nimi, jeśli jeszcze nie skończyłem, ale spodziewam się, że właściwa poprawka może potrwać dłużej. Kontaktuję się z nimi, jeśli stwierdzę, że zgłoszenie jest fałszywe (np. raz dostałem zgłoszenie, które odnosiło się do incydentów, które miały miejsce przed przypisaniem adresu IP do mojego serwera, więc odpowiedziałem, że nie mam nic do roboty).
Reddit
