12:30
9/1/2011

Klient platformy hostingowej Linuxpl.com opisuje na swoim blogu przejścia z administratoracją, która nieprofesjonalnie przeprowada blokadę jego konta. Wpis staje się popularny na forach poświęconych hostingowi. Jeden z internautów, sympatyzując z rozczarowanym klientem LinuxPL, postanawia ujawnić luki w zabezpieczeniach panelu klienta firmy LinuxPL.com.

linuxpl.com

linuxpl.com

Z relacji Jakuba Furmana, rozczarowanego klienta, wynika że jeden ze skryptów (który wykonuje jedynie die() w PHP), ponoć po raz kolejny “przeciąża”, według administratora LinuxPL.com serwer, dlatego na konto zostaje założona agresywna blokada (chmod & chown, również na katalogu z WWW i FTP). Kubofonista nie zostaje powiadomiony o tym fakcie przez administrację — administracja LinuxPL twierdzi inaczej, ale wszystkie dowody wskazują na to, że kłamią.

Hacktivism czy sympatia?

Oburzony powyższą obsługą klienta CapaciousCore, publikuje na YouTube film, ukazujący błąd w panelu administracyjnym LinuxPL.com i podsyła go m.in. do Niebezpiecznika:

Dodatkowo, na swoim blogu umieszcza kod “exploita” oraz szczegóły luki w LinuxPL.com.

Na czym polega błąd w panelu LinuxPL.com

W skrócie, LinuxPL.com w swojej procedurze resetowania hasła zapomniał o jakiejkolwiek ochronie przed floodem (limitowanie żądań, captcha) a przede wszystkim o kroku pt. “potwierdź nowe hasło“. Znając adres e-mail lub login dowolnego użytkownika LinuxPL.com można za pomocą błędu w panelu klienta zresetować mu hasło. Efekt, natychmiastowy.

O ile pojedynczy reset nie jest groźny — klient prędzej czy później odczyta hasło przesłane mu na e-maila i odetchnie z ulgą, to automatyczne resetowanie hasła co kilka sekund skutecznie utrudni klientowi dostęp do jego usług (zanim zdąży użyć nowe hasło, ono już będzie znów zmienione). Łatwo również sobie wyobrazić, że atakujący najpierw celowo flooduje serwer pocztowy ofiary (zapełniając mu skrzynkę) i e-mail informujący o zmianie hasła w ogole nie trafia do klienta.

Masz konto na LinuxPL.com? Zmień e-mail!

Administracja LinuxPL.com jest już świadoma błędu i obiecała go naprawić w najbliższym czasie. Do “najbliższego czasu” wszystkim klientom LinuxPL.com zalecamy zmianę adresu e-mail, na trudny do przewidzenia.

Przeczytaj także:

72 komentarzy

Dodaj komentarz
  1. Pięknie… Zgadnijcie gdzie mam konto…

  2. btw, kei.pl nadal trzyma hasła do baz danych w plaintekście które można podejrzeć w panelu

  3. Mail zmieniony.
    Teraz czekam na komentarze z sugestiami lepszych firm hostingowych…

  4. Szczerzę to również odradzam linuxpl.com. Kiedyś byłem ich klientem i w sumie 3 miesiące zeszły na to, żeby wymusić na adminach wprowadzenie jako-takiego poziomu bezpieczeństwa (czyli przez 3 miesiące nie mogłem normalnie korzystać z konta, bo wiedziałem, że do moich prywatnych danych dostęp mam nie tylko ja i admin, a także każdy inny zainteresowany).
    Problemów była masa, od dostępu do o+r do katalogu z cache’em e-mailów wszystkich userów na danej maszynie, poprzez dostęp o+rx do katalogu /root gdzie leżał mysql_backup_today.tar.gz (o+r oczywiście), generowany grzecznie w wieczornych godzinach, że o detalach typu ps aux listujący procesy wszystkich userów (niektóre typu random_app –sql-host=127.0.0.1 –sql-user=asdf –sql-pass=xyz) nie wspomnę.
    Trzy miesiące e-mailowania, pisania na gg do adminów (“naprawimy to jutro”…), etc, zajęło zanim wszystkie poważne luki zostały załatane, przynajmniej na serverze z którego ja korzystałem (tak naprawdę podziałała dopiero informacja o planowaniu publikacji informacji o stanie ich “bezpieczeństwa”).
    Przyznaję, że było to ładne parę lat temu, niemniej jednak zalecam ostrożność.

  5. @Torwald szkoda tylko, że loginu nie zmienisz ;)

    Sprawa jest rozwojowa bo prawdopodobnie luka jutro zostanie naprawiona. Wcześniej miało to być na początku roku ale widzę, że mają nóż na gardle.

  6. No, ja też tam mam hosting.
    Jeszcze parę miesięcy i przechodzę do ionic na vpsa – nie słyszałem o tej firmie żadnych negatywnych opinii, no i support ponoć dobry. A takie akcje Linuxpl, to nie pierwszyzna, była już naprawdę podobna sytuacja na wykopie.

  7. “Z relacji Jakuba Furmana, rozczarowanego klienta” – link uszkodzony.

    Po takiej nagonce może w końcu naprawią ten błąd, bo wg. autora odłożyli to sobie “na później”.
    Zresztą, wątków na ten temat jest już kilka, od http://blip.pl/tags/linuxpl zaczynając.

  8. http://localhost/ <- darmowe, ale wymaga dobrego łącza ;)
    Teraz chyba ciężko jest znaleźć dobrą firmę za rozsądną cenę. Kiedyś miałem w Hekko, ale też się na nich zawiodłem. Wszelkie darmowe serwisy też są niewarte zachodu.

  9. @Mestiso link jest prawidłowy tylko nastąpiło przeciążenie serwera (“wykop efekt”).

    Ja także korzystam z ich usług i na razie nie miałem problemów choć parę niuansów było.

  10. @CapaciousCore link był uszkodzony (bez http://, zrobił się względny), ale został poprawiony :)

    Generalnie poza ostatnimi padami wymienianymi ciągle na tagu #linuxpl wszystko zdaje się być w porządku. Też jestem u nich, a tę całą sprawę śledzę od pierwszych wzmianek – mam nadzieję, że wezmą sobie to wszystko do serca i zadbają o każdego klienta. Tak obecnych, jak i nowych, których po takiej głośnej wojnie można im już chyba tylko życzyć.

  11. Cóż, nie przepadam za firmą, pożegnanie nastąpiło w kwietniu 2009…

    7. kwietnia, na wszystkich domenach podpiętych do konta 404, ftp odrzuca hasło, panel zarządzania kontem też – myślę jest wesoło.
    Ticket do admina, bez odzewu, livechat – okazuje się że serwer padł.
    I najlepsze pytanie konsultanta/admina: czy mam jakieś kopie plików, bo oni mają… z 2007 roku.
    kopie baz mysql z 1. kwietnia (mamy 7.)

    a w ofercie: “Codzienny backup MySQL na zdalny serwer oraz backup danych raz na tydzień.”

    Kopia z 2007r była po tym jak po bodajże miesiącu offline serwera przenosili mnie na inną maszynę. (nie pamiętam już, dawno to było). Generalnie zraziłem się. Bardzo.
    Swistak, na wht o ionic same superlatywy, znajomy wykupił tam konto i będę testował, wcześniej z adminem kontaktowałem się telefonicznie parę razy i bardzo OK gość.

  12. O LinuxPL.com mozna powiedziec bardzo wiele, najlepiej zobacznie ten wykop i *koniecznie* komentarze do niego: http://www.wykop.pl/link/226356/umowa-jaka-umowa-uwazaj-gdzie-kupujesz-hosting/

  13. @Mestiso w takim razie przepraszam. Najwyraźniej trafiłem za późno.

    Apropo wykopu to poczytajcie wszystko co otagowane jest tagiem linuxpl :)

    “Kiedyś miałem w Hekko, ale też się na nich zawiodłem.” – ja też, limity CPU są z kosmosu, niedługo opisze to na swojej stronie. Fakt, faktem localhost the best :-)

  14. Najwięksi gnoje jacy istnieją.

  15. Ja widziałem już dwa razy jak przeniesiono tam znajomemu public_html z domeny do innego katalogu i zmieniono chown… Dlaczego tak się stało – nie wiadomo.

  16. Najgorsze jest w tym wszystkim to, że płacimy za hosting sto, dwieście złotych, powierzamy im swoje witryny, sklepy, blogi, storage etc., myśląc, że wszystko jest w dobrych rękach. A tu później taki klops! O backupach nie ma nawet mowy, albo trzeba wyłożyć kolejną kasę, bo wiedzą, że jest się przypartym do muru.

    Zastanawiam się, czy takimi hostingami wirtualnymi, prowadzonymi przez firmy “uduś” nie powinien wreszcie zająć się UOKiK.

  17. Jan Pogocki to prawda. Z tego co się orientuje to był przypadek co zażądali od kogoś 200zł za backup.

    Swoją drogą zastanawia mnie czy zablokowanie mi danych (usuniecie konta) i posiadanie backupów nie podchodzi pod łamanie prawa. Bo firma w ten sposób posiadania nielegalnie aplikacje mojego autorstwa bez mojej zgody. Łamanie praw intelektualnych?

  18. koleś ma 17 lat i zna kilka języków programowania
    8^0

  19. No właśnie, niby tak wszyscy się chwalą LinuxPL że dobra firma, polecają etc. ale i tak jednak wolę OVH :d

  20. @tmk to akurat nic nadzwyczajnego ;) Niektóre dzieci w wieku 12 lat mają takie umiejętności albo i lepsze.

  21. Apropo dziur w linuxpl.com, to nie mają zabezpieczonych plików /etc/passwd i /etc/shadow, wystarczy znaleźć stronę, na ich hostingu która jest dziurawa i można pobrać hasła :D. Ewentualnie można założyć u nich konto i wtedy pobrać hasła. John The Ripper na pewno się ucieszy :).

  22. CapaciousCore : w tym przypadku to ja :S

  23. Tylko myślę, że się teraz wygłupiłem. Nieco inaczej zinterpretowałem 8^0 :P

  24. Linuxpl to arogancja, podawanie pierwszych najprostszych rozwiązań bez sprawdzania źródła problemu. Na przykład: Q:”email nie działa. A:”brak rekordu MX.” – a jak byk widać, że DNS na zewnętrznej strefie, albo przedłużenie domeny na kolejny rok na.. pracownika Linuxpl, i oczywiście “ma pan authinfo, więc jaki problem?” Podejście do klienta rodem z PRL, brak informacji, serwery były swego czasu niezniszczalne, ale ostatnio i to się sypie. Przesiadłem się na VPS w Statnet.pl i bardzo polecam, pod każdym względem, a jestem raczej trudnym i wymagającym klientem.

  25. A ja mam tam konto już 2 rok i nie narzekam, wszystko działa z adminem idzie sie dogadać o 2 w nocy, do tego jak chciałem webdav (taki dosyc specyficzny) to zadnego maila nie olali (a było ich kilkadziesiąt) i dzielnie konfigurowali tak żeby działało idealnie :)

    Co do błędów na stronie to nie wiem czy wiece, ale to nowa strona która pojawiła się jakoś na przełomie roku, i jak wiadomo w każdym nowym systemie są błędy, a że programista to klepiący się nie popisał to inna sprawa…

  26. Jakiś czas temu znajomy miał jazdy z linuxpl, zablokowali mu konto od tak, oczywiście linuxpl jakieś tam powody niby miał, ale były one [że tak powiem] z dupy wzięte. Tą firmę należy omijać szerokim łukiem bo prędzej czy poźniej będzie zonk.

  27. A ja tam nie narzekam :)

  28. @kwiateusz to prawda jednak jest coś takiego jak wykonywanie testów. Problem nie dotyczy nowej strony tylko starego panelu klienta.

    Aktualnie zostałem “dyskretnie” postraszony.

  29. Linuxpl? to takie newsy tutaj trafiają :|
    Tam jest masa błędów(np. odczytywanie haseł innych userów – przynajmniej był 2 lata temu).. gdybym miał przesyłać newsy takie jak ten dziennie to przez rok mielibyście 365 wpisów :|
    Trzymajcie jakiś poziom a nie piszecie o dziurawym od dawna linuxpl.
    Dla kogo jest kierowany ten serwis? Czasami macie mądre czysto geekowe wpisy a czasami piszecie o jakimś tam (jak x-set innych hostingów) linuxpl.

  30. @CapaciousCore Pewnie będą Cię straszyć że udostępniłeś “exploita” , oni zamiast ruszyć du*ę to pewnie nic nie robią z tą dziurą i git, będą mieli większe straty :d

  31. @Kenobi z maila wynika, że błąd został już “naprawiony”.

  32. @kr2ysiek
    Nie udało się nawiązać połączenia :)

    @niebezpiecznik
    Jaki tani* hosting polecacie?

    *najtańszy bezpieczny nadający się na bloga czy stronę domową z dwiema bazami?

  33. @zzz1986 zależy czy Ci zależy na stabilności bo można polecić nawet hosting za SMS’a ale nie wiem czy warto ;) Na szybko to mi przychodzi do głowy boo.pl

  34. @CapaciousCore
    Dobę padu nie częściej niż co 2 miechy jeszcze przeżyję.

  35. ja polecam unixstorm.org, niezłe możliwości i cena też niezła, póki co bez najmniejszych problemów, a reakcje na maile natychmiastowe :)

  36. Chyba już poprawili – nie przysyłaja hasła w mailu, tylko: Aby otrzymać nowe hasło proszę kliknąć w poniższy link: …

  37. Ja ze swojej strony polecam vipserv.org. Bardzo profesjonalny hosting – admin zna sie na rzeczy i jest bardzo pomocny. No i ceny: od 10zl/m-c (nie liczę najtanszego który nie ma dostępu do SSH). Polecam :).

  38. Miałem kiedyś także przygody z linuxpl, też musiałem wykupić swoje dane, nigdy więcej nie kupię tam serwera i szczerze nie polecam.

  39. @zzz1986 Chyba nie zrozumiałeś. Przeczytaj sobie co to jest localhost…

  40. @kr2ysiek
    To był żart.

  41. Hacktivism czy sympatia?

    Wydaje mi się, że to pierwsze bo sympatia na pewno nie. Zainteresowałem się userem o nicku @kubofonista dopiero po tym wpisie więc wcześniej go nie znalem. Przyznaje, że przeglądałem kiedyś jego blog ale bliższej znajomości nie nawiązałem.

  42. Chyba dojdzie do kompromisu. O “postępie prac” poinformuje wkrótce oraz o tym jakie postanowienia zostały ustalone.

  43. “FIlm wideło jest prywatny” ;)

  44. @dback czyżby to był efekt jakiegoś delikatnego zastraszania? czy może jakaś ugoda? ;]

  45. Korespondencja z Panem z linuxpl.com jest po prostu genialna :) Patrząc po forum webhostingtalk, komuś odpowiedzieli, że dziura zostanie jutro załatana, mi natomiast dziś mailowo napisano że dziura jest stara, sprzed kilku miesięcy. Jednym słowem nie wiedzą co się u nich dzieje, nie mówiąc już o tym, że panel z danymi osobowymi też nie potrafi ich pobrać z dobrego miejsca (a system od faktur jakimś cudem potrafi – ciekawe, jak trzeba wystawić fakturę, to dane zawsze się znajdą..).

  46. Podziwiam ludzi, którzy ciągle wierzą w jakość polskich firm hostingowych z ofertą za kilkadziesiąt zł rocznie. Macie zdrowie…

  47. Ja polecam http://www.hoseo.pl mają szybkie serwery, ja dodatkowo korzystam z pakietu SEO z różnymi adresami IP, pomoc zawsze szybka i naprawdę pomagają, a nie olewają jak to bywa w innych firmach, a uwierzcie mi sprawdziłem już wiele.. pozdro

  48. Cóż.
    Przeciążanie o którym tu mowa to nie pierwszyzna.
    Po rozmowach odniosłem wrażenie że mają tam chyba dwa obozy w supporcie wzajemnie się zwalczające. Kiedy jedna osoba blokowała konto, druga próbowała dociekać. Jednak żaden konsensus nie został wypracowany i musiałem migrować. Gdzie nie napiszę gdyż nie jestem zwolennikiem kryptoreklam. Wystarczy że im płacę.

  49. Dołączam się do Kenobi. Jak potrzebuję serwer pod www to korzystam w oferty OVH.
    Jednak, gdy jest większy projekt to zakupuję serwer dedykowany bądź VPS.

  50. A linuxpl.com to przypadkiem nie jest przebrandowany THC (Tani Hosting dla Ciebie)? Jeśli to biada tym którzy mają tam konta.

    Nie ma to jak usłyszeć od admina, że nie będzie naprawiał serwera, bo i tak nic na tym nie zarabia i dostać fakturę za hosting z fabryki ceramiki :D

  51. W zeszłym roku również zablokowali mi konto ponieważ podobno “za bardzo” obciążałem serwer… Od razu wyniosłem się do innej firmy hostingowej. Oni chyba oczekują, że na jednym serwerze uruchomią milion kont, których użytkownicy nie będą w ogóle wykorzystywać. Bardzo zła taktyka.

  52. Ale się działo jak spałem :O

    Z poczatku straszenie sądem lecz z czasem firma spotulniała i zmieniła stanowisko. Tak, doszło do “ugody”. Na razie czekam na oficjalne stanowisko firmy – przeprosiny, dziękuję i postanowienie poprawy.

    Z tego co pamiętam o dziurze informowałem w grudniu (chyba na poczatku) – mogę sprawdzić jeżeli kogoś to interesuje.

    Swoją drogą jeżeli takie coś miałoby miejsce w USA to firma z pewnością stałaby się celem ataku.

  53. Sry za dubel ale muszę to powiedzieć :-)

    Mam nadzieję, że po tej akcji opamiętają się i “stanie się normalność” :wink:

  54. Certyfikat Niebezpiecznika.

    Zmieniałem dostawców juz n razy. Często jest tak, że firma na początku jest ok, a po jakimś czasie napasiona zaczyna zlewać userów. Mam w związku z tym taki pomysł :)

    Może Niebezpiecznik, nadawałby Certyfikat Niebezpiecznika na określony okres czasu. Ja jako User miałbym pewność… no prawie pewność, że moje dane, które powierzam jakiejś firmie będą bezpieczne. Niebezpiecznik ma renomę więc taki certyfikat byłby wiążący no i moglibyście przy okazji zarobić :)

  55. Ale ten sam bug ma cal.pl ze swoim centrumklienta.pl
    Mi ostatnio też jakaś osoba z zewnątrz zmieniła moje hasło do konta.

  56. @Koko a kiedy zablokowali Ci konto, bo mi też w tamtym roku zablokowali, bo podobno obciążałem serwer, choć nie mam pojęcia czym. A jeden z administratorów to porażka, po prostu chamski, arogancki. Jak bym wiedział że tacy ludzie tam pracują to bym na pewno nie kupił tam konta. NIE POLECAM
    Zresztą o tej firmie można wiele przeczytać ale nie pozytywnie tylko negatywnie
    http://linuxpl.podstrona.pl/
    http://dawidgajek.bblog.pl/tag,linuxpl;com,8831.html
    http://www.wykop.pl/ramka/226356/umowa-jaka-umowa-uwazaj-gdzie-kupujesz-hosting/
    i wiele więcej

  57. Parę lat temu również skusiliśmy się na usługi linuxpl i nigdy więcej. Po wepchnięciu wszystkich danych, uruchomieniu (forum + www + osobny mysql) usługa nam po krótkim czasie wyłączona. Za bardzo obciążaliśmy serwer. Na stronie mieliśmy flaszowy aplet za pomocą którego użytkownicy łączyli się z bazą danych i wysyłali parę żądań. I właściwie to wszystko. Ale według adminów za bardzo obciążaliśmy serwer/łącze (w tym momencie nie pamiętam – cała sytuacja miała miejsce parę lat temu) że wycieli nam to. Co ciekawe wcześniej wszystko stało na jednym desktopie z sztywnym łączem z białostockiego euronetu. Więc panowie z linuxpl chcą małym kosztem zarobić jak najwięcej :-). Ew może ich usługi nadają się na homepage dla kogoś, czy bloga, ale wtedy mamy setki darmowych alternatyw.

  58. Może mi ktoś wytłumaczyć dlaczego to user ma się przejmować obciążeniem serwera?
    Zdaje mi się, że serwer da się tak ustawić żeby przydzielić danemu userowi jakieś zasoby których on bez włamu na serwer nie jest w stanie przekroczyć, albo dostaje tzw rekina po ich przekroczeniu.

    Skoro mogą się przed tym zabezpieczyć, a tego nie robią to chyba tylko ich problem.
    Ciekawe jak to wygląda w prawie i co uokik na wyłącznie konta, bo za bardzo było wykorzystywane.

  59. @Oki: Około 17 czerwca 2010r.

    Co ciekawe inna firma hostingowa cały ruch przełyka bez problemu.

  60. Tak, linuxpl.com to niegdysiejsz thc.net.pl, który zwinął się bez zapowiedzi razem z pieniędzmi wpłaconymi za konta. Oficjalnie linuxpl miał przejąć klientów thc, ale mimo wielokrotnych zapytań słanych do linuxpl nikt nie raczył odpowiedzieć w jaki sposób ma się to stać i kiedy.
    Przez długi czas dzwoniąc na telefon linuxpl można było dodzwonić się do wrocławskiej firmy sprzedającej ceramikę :)

    Zdecydowanie dołączam się do wszystkich odradzających hosting u nich ;)

  61. Kiedyś o mało nie związałem się z tym hostingiem. Na szczęście obsługa serwisu skutecznie zniechęciła mnie do dalszej współpracy wykazując się arogancją, brakiem profesjonalizmu, czy nawet wręcz chamstwem. Po lekturze google stwierdziłem, że mój przypadek nie był odosobniony. Od siebie polecam vipserv.org. Nie mam wielkich wymagań, ale na vipservie spokojnie można postawić większość narzędzi programistycznych, w tym redmine czy svn. Na hostingu, o którym mowa a artykule na samo słowo svn, włos się zjeżył na adminie i za każde repo chcieł kosić po 15 pln ;)

  62. Nie tylko linuxpl popełnia takie błędy,
    przpomnienie hasła w http://hrd.pl również nie wymaga potwierdzenia – w tym przypadku można to wykorzystać w celu utrudnienia odnowienie domeny…

  63. @dudi unixstorm.org tez do najbezpiecznijszych nie nalezy ;)

  64. Linxpl to tragedia ! Ci amatorzy powinni zniknąć z powierzchni ziemi. Cała baza danych mi poleciała 150 MG z ich amatorskiego serwera. Maile pisze ale nieodpowiadaja. SZEROKIM ŁUKIEM OMIJAĆ ! Szkoda czasu uciekajcie na zagraniczne serwery !

  65. Wszyscy się LinuxPL podniecali, bo może Linux w nazwie i się dobrze kojarzy?
    Unixstorm jest spoko, ale obry jest też glowanet.pl czy nawet gigant KEI. Wystarczy się obejrzeć dookoła i są alternatywy. :)

  66. LuK: kei ma świetny support dla klientów (są naprawdę rzeczowi, mili, wytrwali i nie olewają rozmówcy. Dla mnie to rzadkość) ale jeśli chodzi o security to miałbym obawy przed hostowaniem tam strony. Patrz komentarz nt. trzymania haseł baz danych przez nich w plaintext i wyświetlanie w panelu admina.

  67. @jarek ===> hah kei ma świetny support ? każda nietypowa zmiana na serwerze dedykowanym to koło 2 tyg przepychanki mailowej ;-)

    linuxpl.com używam jako hostingu do testów i jakoś się trzyma :)

  68. @rtgn
    A niby na jakiej podstawie tak twierdzisz ?

  69. Historia z linuxpl:
    hosting opłacony, wyłączają serwer o godzinie X, dzwonię o godzinie X+Y, a koles mi wciska jakąś kiełbasę przedwyborczą, że w panelu działa, ale po min ciszy okazuje sie, ze wlasnie przed chwilą koledzy zaksięgowali wplate i za 15 min VPS zostanie uruchomiony … bajer ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: