0-day sebezhetőség tarolt egy nagy VPS szolgáltatónál

Mint a The Guardian is írja, az indiai székhelyű LXLabs vezetője öngyilkosságot követett el nem sokkal azt követően, hogy kiderült, a HyperVM nevezetű termékükben található sebezhetőség kihasználása révén a VAserv nevű nagy brit VPS szolgáltatónál 100.000 site tartalmát semmisítették meg "rosszindulatú támadók", akik feltehetően egyszerű SQL injection segítségével fileszintű hozzáféréshez jutottak.

A HyperVM egy, Xen vagy OpenVZ alapú virtualizált szerverek üzemeltetésére készült szoftver, amelyet a hozzá tartozó, Kloxo (korábban LXAdmin) nevű felületen keresztül lehet vezérelni, egy felületről áttekintve a teljes VPS hostingot.

A milw0rm által csütörtökön közzétett nyilvános figyelmeztetés szerint a gyártó 2 héten át sem reagált a kezdetben kizárólag az LXLabs számára elküldött jelentésre.

Az öngyilkosság tényleges oka ismeretlen, mindenesetre a 32 éves cégvezetőt családi tragédia is befolyásolta, de az is ismert, hogy a VAserv a támadást követően felmondta a szerződést az LXLabs-szel.

Hozzászólások

Hát igen valószínűleg hibázott, de azért ekkorát mégsem.

Itthon meg ha egész évben csak hibázik egy vezető és az adófizetők minden pénze is kevés lenne nyereségessé tenni a céget, attól még felveszik a prémiumokat is.

Itthon meg ha egész évben csak hibázik egy vezető és az adófizetők minden pénze is kevés lenne nyereségessé tenni a céget, attól még felveszik a prémiumokat is.

[off]
Bár az öngyilkosság nem megoldás semmire, de a "gerincesség" kifejezés
bekerülhetne az általad említett emberkör repertoárjába.
[/off]

--
A gyors gondolat többet ér, mint a gyors mozdulat.

Raadasul az ongyilkossag amugy sem megoldas, itt meg plane nem, a megoldas az lett volna, ha elismeri, illetve tesz rola, hogy befoltozzak a hibat, es esetleg atalakitsanak folyamatokat is a fejlesztesben, hogy ez kevesbe legyen valoszinu a jovoben, az mindenkinek jo lett volna legalabb, az ongyilkossag csak menekules a problemak elol. Tessek bevallalni a problemat, es megprobalni tenni ellene valamit.

Bele sem merek gondolni, hogy mi lehetett a háttérben. Mert az, hogy a fickó ennyire lelkiismeretes csak az egyik lehetőség, a másik az, hogy a vakuljparasztszisztem üzemeltetői ismertek cuki ukránokat, szegény indián pedig még sosem találkozott ilyen néppel, és miután bekopogtattak hozzá a kötéllel, ő ajánlkozott önként...

suckIT szopás minden nap! Sun és a BSD licenc

ez durva azért, elhiszem hogy egy életet épített az apps-ra, de túlzás volt a dolog szvsz

kíváncsi vagyok, a betörők most hogy érezhetik magukat.

Nem feltétlenül ez volt a tényleges ok, max az utolsó kapaszkodója ... "cégvezetőt családi tragédia is befolyásolta"... szóval ez olyasmi mint a hab a tortán, avagy a nagy súly alatt elszakadt a cérna. (és még van egy csomó hasonló mondás.)
Mivel nem azzal kezdték a dolgot, hogy töröltek mindent a "betörők", hanem előre bejelentették, hogy javítsátok ki ezt a hibát, gondolom lelkiismeretes emberekről van szó és vsz sz@rul érzik magukat.

>vsz sz@rul érzik magukat.

Érezzék.

Nem egy másik céget és annak ügyfeleit kell tönkretenni/ellehetetleníteni azért, mert szerintük ez célravezető. Ha a gettomilliomos sz@rik a témára, azt is fogja tenni továbbra is.
Magam részéről most elmentem volna a VAServ -hez, s bemutatom nekik egy TESZT rendszeren, mit lehet csinálni, ha nem figyelnek... azóta valószínüleg ott is dolgoznék.
De ez így gusztustalan.

szürkehrteg
azenoldalamponthu

A cimben az a 0-day nem 14 veletlenul? 2 het az tobb, mint 0 nap.

A vaserv a honlapja szerint teljesen korrekt, mentik ami mentheto. Backup vajon egyaltalan nem volt nekik? Nehez elhinni, hogy tobb server teljesen elvesszen, nem tunnek kispalyasnak, akik a backupon sporolnanak.

A fejleszto meg.. bugos webfeluletet irni nem egy ritkasag. Egyaltalan nem reagalni egy ilyen bugra mar joval durvabb. Az ongyilkossagot ettol fuggetlenul tulzasnak tartom de joval kisebbert is van, aki megprobalja. A csaladi tragediat mondjuk nem reszletezik, de gondolom az lehetett a donto ok.

--
"ne támogasd az erdők kiírtását mozijeggyel, töltsd le a netről!" - killllll, asva.info

> A cimben az a 0-day nem 14 veletlenul? 2 het az tobb, mint 0 nap.

Vegul is nyilvanossagra jun, 4-en lett hozva a milw0rm analizis, a feltores meg 7-en tortent, szoval tenyleg nem 0day, csak a cikkben emlegetik folyton ezt.

> A vaserv a honlapja szerint teljesen korrekt,

"It looks like vaserv was hacked due to the owners lack of password security first and then hypervm used to contact the vps's from within his systems."

A *hacker* levele:

http://www.adminsehow.com/2009/06/the-letter-of-the-hacker-who-wipped-o…

A The Register cikkéből: "Some 50 percent of Vaserv's customers signed up for unmanaged service, which doesn't include data backup, Foster said."

Az az érintett aki olcsó VPS szolgáltatást vett, a fentiek szerint backup nélkül, majd saját maga nem gondoskodott backupról, annak valószínűleg már csak voltak adatai. Az informatikában 3 év nagy idő és úgy néz ki, hogy 2001.09.11 már régen volt...
--
Élni életveszélyes!

Komolyan sajnálom a céget, hogy emiatt ekkorát buktak...
Az LXA -t régebben több szempontból is jónak találtam (igen, szemcukorka is...:P) ; az, hogy néha napi 2 update is volt, abban a tévhitben ringatott -gondolom, nem voltam ezzel egyedül-, hogy komolyan foglalkoznak a stuff -al. Mondjuk ez most már nem érint.

szürkehrteg
azenoldalamponthu