Заранее просим прощения, но кратко не получилось.

Хотим рассказать о нашем бывшем хостинг провайдере http://www.tuthost.com Бывшим, мы его называем уже около10 часов. Срок не большой для того, что бы утихла злость и обида, а, кроме того, не все деловые отношения с ним закончены на все 100% , поэтому и хотим рассказать о процессе разрыва договора, и о том, что ему предшествовало. Может это кому-то поможет. Во первых, кто такие мы. Мы это хозяева трех сайтов
Studio Master Video http://www.smv.od.ua
VS-FOOTAGE http://www.smv.od.ua
Upgrade http://www.upgrade.od.ua
Нельзя сказать, что все было безоблачно, в течении года нашего сотрудничества, но вобщем-то, было в рамках приличия. Все началось несколько дней назад, когда сайты неожиданно стали очень медленно загружаться, а иногда и совсем не загружались. Наш админ, который курирует наши проекты, обратился к саппорту с вопросом, на что был дан интересный ответ. «Вы же сами выбрали этот сервер» Здесь надо дать кое какие пояснения. Некоторое время назад, хостинг менял сервер, но нас не устраивала ни конфигурация нового сервера, ни панель управления. Админ настоял на том, что бы наши три сайта, остались на прежнем сервере, в США. Некоторое время все работало нормально, до того момента, когда сайты стали вести себя неадекватно. Ответ саппорта, явно говорил о том, что он либо вынуждает нас перейти на новый сервер либо… ну здесь мы терялись в догадках. Через два дня процесс глюков дошел до апогея. Главные страницы двух, из трех сайтов, перестали нормально отображаться. «Выполнено, но с ошибками на странице» красовалось внизу. А сами страницы, представляли собой нечто неудобоваримое. Пропали счетчики и другие скрипты ява, а текст на странице потерял заглавные буквы и разъехался, куда то по сторонам. Но самое смешное было в том, что в течении суток, картина глюков менялась. Сайты отображались некоторое время, как обычно, потом начиналось та же история, а потом все вновь восстанавливалось в первозданном виде. Админ тут же обратился с вопросом к саппорту. Беседа, которая произошла между ними, выложена здесь, на закрытом форуме провайдеров. Мы не имеем доступа к этому форуму, поэтому не в курсе, как именно преподнесен этот разговор. Надеемся все же, что он изложен полностью, без купюр. Но для простых пользователей, наверное, стоит вкратце (хотя это врядли получиться) изложить, что же происходило. На вопрос админа последовал ответ, что проблема в ява скриптах. Версия админа была однозначной – проблема в самом сервере. Какая именно, это уже второй вопрос. Саппорт с пеной у рта доказывал свое. Однако после долгой и мучительной, для обоих, беседы, он вынужден был признать, что был не прав. Скрипты всем известные, писали их профи, и думаем, ни кто не будет спорить, что програмеры liveinternet.ru и иже с ними, не глупее саппорта, да еще и ничего не понимающего в программировании. Тон, которым он разговаривал, даже не стоит описывать, но естественно, он не понравился нашему админу, на что ОНА заявила свой, так сказать, решительный протест. Весь последующий разговор свелся не к решению проблемы, а к странному «Так чем же я Вас оскорбил? А ну перечислите? А ну назовите?» Именно эта деталь, похоже, больше всего его волновала. А вернее, за ней он пытался скрыть свою не компетентность, сведя разговор к банальному выяснению отношений в стиле «Сам дурак!». Количество предположений о причине сбоя было обширным, и потому очень сложно сказать наверняка точную очередность выдвинутых версий. Думается не в этом суть. Итак. Второе предположение саппорта о причине сбоя в работе, было в неправильной заливке страниц на сервер. Для этой процедуры наш админ использует старый добрый Вин.Ком, не Кут Фтп и др. программы. Многие могут с ним не согласиться, но все работало прекрасно даже после Вин коммандера. Надо добавить еще одну деталь. Для лечения проблемы был придуман способ. После очередного глюка , страница заливалась с компа, и некоторое время, около 2 часов, она нормально отображалась на сайте. Потом, к сожалению и этот способ уже не помогал. Версия о неправильной заливке тоже отпала. Следующим предположением было… как бы это выразиться помягче, скручивание башки Регистру. Это предположение появилось, после того, как саппорт залил исходную страницу с винта. На вопрос, каким образом это можно сделать, тоесть убить регистр, последовал ответ «пока не знаю». Другими словами, опытный в этом деле человек НЕ ЗНАЕТ, а мы простые смертные, знаем, и с успехом ломаем сервера, получаем, так скать, кайф от самого процесса и с удовольствием наблюдаем потом результат на наших сайтах. Теория об испорченном регистре зиждилась на том, что залитая саппортом страница работала в нормальном режиме. Но она, как и предыдущие «идеи» развеялась как дым. Ночью страница «легла», и абсолютно с теми же глюками. Саппорт не растерялся, обвинив нас троих, и само собой, больше всего админа, в терроризме и диверсиях. На самом деле, нашей целью было не решение проблемы, а доказательство того, что он не прав, и что все дело в работе сервера, даже!!! ценой работы наших сайтов. Было от чего растеряться, но мы организованной толпой, свесив языки, начали рыскать по инету в поисках нового хостинга. Когда наш админ нашел подходящий вариант, он первым делом показал «больные страницы» саппорту. И каково же было его удивление, когда на сайтах, при открытии страниц, Доктором Вебом был пойман Троян. Предположение, что все дело в сервере, подтвердилось косвенно. Админ считал, что дело в настройках, которые кто-то изменил. Либо в том, как сервер отдает скрипты браузеру, которые он потом не верно обрабатывает, либо в том же изменении настроек регистра, чьими то «шаловливыми ручками». Но все оказалось проще, банальный вирус на сервере, который, судя по всему, и перекорежил все с ног на голову. Когда админ поделился этой новостью со старым саппортом, реакция была однозначной «Такого быть не может!» Не может, но есть к сожалению. Да, одна маленькая деталь. До этого скандала, просьбы нашего админа проверить сайты на вирусы, заканчивалась словами «Их там нет и быть не может» Мы переехали на новый хост в срочном порядке. При проверке, на всех трех сайтах был обнаружен один и тот же Троян. Не важно, откуда он взялся, но он там был. Разговор был не закончен. Надо было перенести домены. Но перепалка продолжалась, и в процессе выяснилось, что это наша обязанность находить, так скать, источник вируса и того, кто его подложил. Каким образом мы должны вести этот отлов, не уточнялось. Что касается доменов… это совсем не конец истории. Прекрасно зная, что все действия с нашими сайтами, возложены на админа, и зная его, практически, в лицо, саппорт, темнеменее, решил окончательно добить нашу компанию. Переговоры с новым саппортом о переносе доменов не дали результатов. И вот, когда в бой вступил админ, ответ был просто шокирующим. «А вдруг Вы украли асю, и это не Вы меня просите перенести домены!» Он просто издевался, самым грязным образом, показывая свою малюсенькую власть. Было послано письмо с просьбой о переносе с E-mail адреса админа, для всех трех доменов. Последовал ответ, что один домен он перенесет, а вот остальные… пусть их хозяева шлют письма. Вопрос в том, что E-mail одного из нас, использованный при регистрации год назад, уже не использовался. Но саппорт требовал, чтобы письмо было послано именно с этого ящика. Что касается второго участника этих событий, тут вообще стояла огромная проблема. Компьютер был разобран до винтика, послать с него письмо, сами понимаете, было уж совсем не реально. Но на этом мытарства наши не кончились. После долгого «вспоминания» пароля, одному из нас удалось вломиться свой старый ящик. Что сделал после этого саппорт с доменом не известно, но при загрузке страницы на версии без www выдавался совершенно чужой сайт. Страница с www к этому времени давно лежала в дауне. Саппорт вернул все на место, но последние проверки показали, что изменений не произошло. Эпопея еще не кончена, следующий день принесет нам новую долгожданную встречу с бывшим саппортом, мстительность, некомпетентность и хамство которого не знает границ.

P/S Когда письмо было дописано, провели так сказать, контрольный выстрел на сайте http://www.vs-footage.com
Сайт, на удивление загрузился, но, как и прежде с ошибками. Интересно, сколько часов ждать до того момента, когда он опять ляжет. А вот http://www.smv.od.ua , работавший еще несколько минут назад, уже лег.
Браво http://www.tuthost.com Приятно иметь дело с профессионалами!

Возможно, многие детали разговора с сапортом были упущены, поэтому, если кто-то желает, может насладиться этим чтивом самостоятельно. ТУТ представлен лишь кусок текста, до момента разговора о переносе сайтов на новый хостинг.

Еще раз просим прощения, за длинное описание. Но от второго тома этой истории, которая, конечно, будет иметь продолжение, само собой, воздержимся.

1) Вы капитально неправы фразой:

Вы читали договор, вы знаете что за это статья идёт по Уголовному Кодексу вашей страны???

2) Если вам не понравился этот хостер, то взялибы другой и небыло проблем.
3) А вы пробовали запустить тотже сайт на другом сервере, как кпредлагал вам сапорт (Солярис)?!?! НЕТ! А зря... Тотже бессплатный, на который за 1 минуту можно зарегистрироваться. Тогда бы у вас были доказательства.
4) хостер 4 раза извенился. 2 раза так что он не прав, а 2 он так и сказал, ИЗВЕНИТЕ.
5) Хамства хостера я не заметил. Как не странно...
6) Хостер опять предложил вам вернуть деньги! Вы как я понял не захотели!
7) http://66.96.209.21/~smvideo/Solaris.htm - это полный разговор?! (я прочитал от и до)

Хостер, морально выдерживал половину разговора.

Ну а всё же проблема в чём была вы роешили?! В заливке страниц неправелным менеджеролм или что?! Или это так и осталось тайной?!

[QUOTE]Это предположение появилось, после того, как суппорт залил исходную страницу с винта. На вопрос, каким образом это можно сделать, тоесть убить регистр, последовал ответ «пока не знаю». Другими словами, опытный в этом деле человек НЕ ЗНАЕТ, а мы простые смертные, знаем, и с успехом ломаем сервера, получаем, так скать, кайф от самого процесса и с удовольствием наблюдаем потом результат на наших сайтах.[/QUOTE]

Вы уверены, что правильно поняли смысл этой фразы? Если нет, тогда извините, я не знала, что нужно расшифровывать сарказм.

Надеюсь, остальным форумчанам не нужно объяснять ее истинный смвсл. Для тех же кто не понял, скажу прямо. Мы не ломаем сервера У нас несколько другие интересы. Что касается Соляриса, он то как раз и намекал нам что мы чему то там скрутили башку. Однако, скрутить не зная что и не зная где ОНО это что то находиться не реально. Согласитесь.

2) Вы внимательно читали. Было конкретно написано, что сегодня мы переехали. Осталось решить проблему с доменами
3) Два проблемных сайта, которые уже на другом сервере. Отображаются верно, как им и положено. Вот Вам и доказательства. http://66.96.209.21/~smvideo/
http://66.96.209.21/~vsfootag/ (здесь, сами понимаете, не отображается голосование, по понятной причине, пока нет домена)
4) 5) Думаю определение порога, где заканчивается нормальная беседа и начинается хамство у нас различны. Что касается извинений, то видимо, если они прозвучали, значит, был повод извиниться. А что касается количества сказанного слова ИЗВИНИТЕ, я его не подсчитывала. Эмоции и чувства не могут уместиться в обычную статистику, в которую Вы пытаетесь впихнуть нормальное человеческое общения и элементарное уважения к клиенту, или просто человеку. Если Вы считаете, что меня должно было удовлетворить количество слов, а не их искренность, то я с этим не согласна.
6) Да, никаких денег он нам не должен, во всяком случае, Studio Master Video. Другие пусть решают этот вопрос сами. Меня удовлетворит признание его неправоты и извинения.
7) Нет, к сожалению, разговор этот не полный. Я имею ввиду, не этот документ и не его близнеца на закрытом форуме. Продолжение, как уже сказала, было, и достаточно бурное. Поэтому, я бы и хотела услышать извинения, но хотеть можно многое… это я понимаю.

Если Вы внимательно читали, я указала причину. Троян на всех трех сайтах. Они обнаружились при открытии страницы и далее при проверке на новом хостинге. Убедить в том, что вирус БЫЛ и наверняка еще есть на их сервере, Соляриса не возможно. Если он это признает, значит, он должен признать и то, что сервер легко взломать и подсунуть туда все, что душе угодно, нет антивирусной защиты, а сам он (Солярис) не разбирается в деле, которым пытается руководить.

«Выполнено, но с ошибками на странице» - это говорит о том, что Ваш браузер не смог отобразить страницу нормально. Это проблема на стороне браузера.
Если бы ошибка была на сервере она проявлялась бы иначе. Во-первых сервер скорее всего не стал бы писть на русском языке. Во-вторых сама ошибка была бы иной. Вроде errorr 500 или can't connect to mysql.

О трояне на сервере поробнее можно? Иначе это звучит как голословное обвинение.
Кстати, а антивирус, если им проверить файлы, которые заливались на сервер - говорит о том, что они заражены?

P.S. Я не совсем понял, какой админ сказал, что проблема в самом сервере.

О трояне сказал админ сервера куда и переехал Studio Master Video
Мы не стали спорить об этом ибо это могло закончится еще большой эпопеей.
Кстати по поводу трояна мы специально залили копию index.html под другим названием на тот же аккаунт, в течении суток та страница не изменялась, а index.html изменился (по словам Studio Master Video к их аккаунту доступ имело еще 3 человека, как мы можем гарантировать что это ни кто-то из них изменял код странички)

Несколько замечаний "со стороны".
1. Правила раздела гласят:Вы назвали:Так и хочется ответить:Сам...
2. Как Вы наверное могли догадаться, читал изложение этой истории в иной редакции, и Ваше высказывание считаю совершенно не отражающим действительность. Как минимум. Прочитал оба варианта (Ваш и tuthost.com) - схожи.
А вот отношение к оппоненту разное.
У хостера - нормальное, даже слишком.
Ваше - я прокомментировал в п.1.
3. По доменам. Абсолютно начхать, что .
Закон есть закон, а он гласит, что должен быть доступ к административному ящику.
Без него ничего с доменом производится не должно и не может! Ваши проблемы, что Вы забыли пароль. Хостер на 101% прав в этом пункте.

К сожалению, совершенно не удалось понять - ГДЕ (может быть) троян

1) Какие все-таки технологии использовались на главной странице сайта, окромя хтмл и джаваскрипт (который никак не зависит от сервера и работает в броузере)???

2) Сервер хостинга ухитрился поймать такой троян, что после этого стали возникать ошибки в броузере при просмотре хтмл файла одного из аккаунтов, размещенных на этом хостинге??? Такое вообще может быть???

3) Почему не попробовали, например, просто убрать со страницы джаваскрипт - например, я - такой пользователь, который отключил у себя в настройках броузера джаваскрипт - если пробовали - то что получилось???

4) Почему действительно не попробовали на бесплатном хостинге (есть же бесплатные и с поддержкорй php, если надо)???

5) Так ГДЕ вообще кто-то нашел троян??? Пусть автор темы объяснит популярно, ГДЕ он был???

6) И ЧТО этот троян делал, объясните, пожалуйста, популярно

Отмечу, что отсутствие ответа на эти вопросы - нарушение правил этого раздела - конкретно пункта 4.3 - т.к. четкое изложение проблемы - это все-таки не только, кто кого обидел - но и технические детали. А тут целый трактат написан - и в результате НИЧЕГО непонятно

К сожалению, сам я указанные сайты посетить не решился, тк боюсь подцепить троян

Что касается серверов этого провайдера в США - то скорость доступа к ним очень даже неплохая для американского хостинга - хоть по пингу и трассировке из разных мест, хоть визуально

Что касается доменов - то хостер 100 процентов прав - не хватало еще, чтобы украв у меня пароль от аськи, еще и мои 15 доменов увели - если человек оставляет в контактных данных домена неработающий ящик - то на что он рассчитывает????

и еще: членам Клуба высказываться в этом разделе запрещено - но если бы автор темы действительно хотел(а) разобраться с причинами неработоспособности страниц - то пригласил(а) бы членов Клуба выступить в качестве экспертов:
- можно было бы пригласить всех членов Клуба
- можно было бы пригласить индивидуально несколько подкованных в программировании хостеров

имхо, ситуация неоднозначная.
1) По поводу доменов хостер прав.
2) По поводу троянов... о том что они есть информация только от нового хостера, который наверное хотел что-бы к нему переехали.
3) По поводу отрицания возможности наличия вирусув и отказа проверить сервер на них, хостер неправ.
4) Однако по поводу того кто загрузил на сервер вирусы (если они там были) вопрос спорный. Тем более здесь, как мы поняли, на сервер были доступы не у одного человека? А ведь и возможность взлома софта стоящего на сайте возможна?

Видели хостинги типа hut.ru ? narod.ru ? Где вставляется принудительно баннер, прямо в страницу или на страницу с помощью javascript ? Если на сервер загружен какой-то скрипт, то он вполне может изменять информацию периодически и/или налету, добавлять javascript например. А если не просто javascript, а ещё и какой-нибудь троян использующий дыры в IE, то браузер может и ошибки выдавать. Так что вот как раз по симптомам, мы бы более чем согласились с возможностью трояна, и может даже на него в первую очередь бы и подумали.

Согласны.

Но разве может (и как) на хостинг попасть троян - который влияет только на один из аккаунтов виртуального хостинга?

А если что что-то троянское подложили на аккаунт специально - почему мне, например, еще не подложили?

Если по фтп кто-то что-то залил из имеющих доступ или если хакнули скрипты который стоит на сайте, и (допустим) залили какой-нибудь скрипт, который будет совершать какие-то действия. То как раз в этом случае влиять троян будет только на этот аккаунт, ибо к другим у него доступа не будет.
С другой стороны, если хакнули хостера, то не видим никакой проблемы хакнув хостера начать мешать жить одному конкретному аккаунту (мало ли кому он насолил).
P.S.: мы это, хаки начали обсуждать или ещё нет?:-)

Если допустим хакнули "Иванова", то совершенно не обязательно одновременно будет хакнут и "Петров". Может Петров защищен лучше, а может просто в роли неуловимого джо выступает, а может просто руки пока не дошли.

Еще один момент - о симптомах - что все на странице разъехалось - это может быть просто оттого, что используется элементарное CSS позицирование - если путь до сайта долгий, страница не успевает полностью "собраться" как надо

В первом посте про др.веб написано поймавший трояна, и про изменяющиеся физически страницы на сервере, и про яваскрипт неработающий по утверждению админа. Эти симптомы цсс-ом не объяснишь.

Написано, что КТО-ТО СКАЗАЛ, что др. Веб поймал трояна - я так и не понял - ГДЕ он его поймал - в скриптах, уже закачанных на новый хостинг - или вообще где?

И какие скрипты (и вообще технологии) использовались на сайте?

Ну Господа провайдеры уже наверное поняли, кто эти клиенты и о ком идет речь.
Именно про них идет речь в теме, которую я открыл специально в закрытом разделе, чтобы не выносить сор из избы:
http://forum.hostobzor.ru/index.php?showtopic=2215
Но ребята обвиняя нас в мстительности, решили отомстить сами, иначе как еще назвать, то что после того как я перед ними извинился (хотя не было за что) первел их домены на новый сервер и предложил вернуть деньги (хотя по договору не обязан) они начали писать о нас плохие отзывы.

Что ж в таком случае выкладываю весь наш диалог с ними сюда, в формате txt, так как беседовали мы с ними ну очень долго. Кто захочет сам понять, кто прав, а кто нет, просто прочитает этот диалог и все поймет.
http://tuthost.com/docs/dialog1.txt (часть 1 с клиенткой)
http://tuthost.com/docs/dialog2.txt (часть 2 с клиенткой, продолжение)
http://tuthost.com/docs/dialog3.txt (часть 3 с ее мужем)

И еще 1 маааленькая деталька: я оставлял на нашем сервере еще 1 страничку, копию индексной, но назвал ее по другому, специально отсавил для проверки. Так вот после того как я открыл снова доступ к серверу его владельцам через некоторое время индесный файл снова накрылся, а тот что я оставил, работал как и прежде, это отпровергает версию о проблемах в сервере с головой.

И еще замечание, я не говорил и не говорю, что я спец по програмированию, более того я заявил им сразу что в java вообще не разбираюсь и посоветовал обратиться к людям которые в этом разбираются, даже адрес дал. Так же я не обвинял и не обвиняю клиентов, что это они меняли файл. Ну и последнее я в конце вчерашней беседы в который раз извинился (непонятно за что), мне это не сложно и в который раз предложил вернуть деньги.

В общем на сем замолкаю, кто захочет разобраться просто прочитает полную версию диалога, что мы выложили.

Но все-таки, полагаю, в данном случае более интересен вопрос - не кто прапв или неправ в чисто человеческом плане, а
- что все-таки происходило с главной страницей сайта с технической точки зрения

- какие технологии испольщовались на главной странице
- что конкретно менялось в ее коде
- когда менялась эта страница и было ли это связано с сеансами загрузки по фтп или действиями определенных скриптов или чем
- что вообще с технической точки зрения произошло

Полностью поддержал бы хостера - но удивляет, что он ссылается на то. что к аккаунту есть несколько ФТП доступов - и неизвестно, кто и что заливал

Разве нет логов, что, когда и откуда заливалось по FTP,
и, что, невозможно вести какие-то логи. когда вообще были записи в файлы на сервере - особенно, после того, как появились такие непонятки

А мне более интересно как раз человеческая сторона, ибо назвав тему: за слова надо отвечать.
В данном случая как раз вижу обратное и не считаю, что клиент имеет право на всё.
Даже если бы он прав, в чем очень сомневаюсь.

Полностью с Вами согласен - но в чисто человеческом плане у меня даже нет вопросов - ибо само название и тон автора темы входят в противоречие даже с правилами данного раздела - при том, что из этого трактата совершенно непонятно, что вообще произошло (о чем я уже писал)

Поэтому логи, приведенные хостером, я, например, даже не читал, так как и без них с чисто человеческой точки зрения все ясно

Но, как объяснил мне как-то Петр Павлович "то, что мама с папой упустилит, никакой Хостобзор со своими правилами исправить не сможет"

Что касается технической стороны - то действительно получается детективная история - автор темы НЕ приглашает хостеров в качестве экспертов - а из нехостеров только у edogs есть и техническая подкованность, и определенный интерес к проблеме

Но, полагаю, хостер только бы выиграл, если бы, например, посмотрел логи, и возможно, закачал весь проблемный сайт на другой аккаунт и выяснил, что за чудеса там происходят (хоть это не входит в его обязанности - но неужели ему самому не интересно)

Еще раз поясняю: в том, что на этом хостинге работают порядочные, воспитанные и вежливые люди, никто тут не сомневается

Прочитали диалоги.
Что мешало хостеру не говорить что "сами виноваты со своими скриптами", а объяснить что может быть их хакнули, ведь люди явно не понимали почему это "вдруг" могли появится проблемы? Что мешало хостеру не говорить что "я дал доступ фтп вам и тут начались проблемы", а показать логи доступа и указать виновника"?
С другой стороны, кто мешал клиенту запросить логи доступа? Кто мешал клиенту обратиться к рекомендованному человеку и проверить сайт на хак?
В общем - обе стороны не сделали того что могли бы. Клиент сорвался, но его понять можно, у него же сайт не работал. Хостер не сорвался, за что респект конечно, приятно видеть.


Если эти чудеса объясняются взломом аккаунта, то можно предположить что после "баловства" с индексной страницей хакер начал бы "нагружать" сервер, пытаться взломать аккаунты других клиентов используя текущий доступ, стал бы рассылать спам. Так что не только в "самому не интересно" дело. Хотя другой хостер мог бы включить паранойю и заблочить аккаунт от греха, пока клиент не разберется.


угу.

Простая неопытность в этом вопросе. Когда все работает, как правило человек не интересуется как оно работает, но вот когда припечет...
К тому же, ни где не читала, что пользователь обязан разбираться в работе сервера или знать места, где обитают опытные эксперты итд. Но спасибо огромное что подсказали про логи, мне и в голову это не приходило


С удовольствием приглашаем экспертов разобраться в ситуации! Если такая возможность существует, было бы чудесно! Нам троим необходимо разобраться в ней, ибо ее повторение крайне не желательно! Подскажите, как это делается? Необходимо куда то писать заявку или что-то в этом духе?

Страницы сайта http://www.smv.od.ua на HTML , есть скрипты ява. Как только была сделана, и были установлены счетчики и другие скрипты не изменялась, во всяком случае около полу года точно. Хостимся около года. Стр. http://www.vs-footage.com тоже же самое, но есть скрипт голосования на PHP, инфа меняется время от времени. Все это время сайты заливались Вин комом, проблем не было.

ultrasparc

Не сомневалась, что нас троих уже в который раз обвинят в диверсиях… ну ну. Даже не буду что-то утверждать или опровергать. Как сказал один из посетителей все можно решить очень быстро. Выложите на форум логии за эти дни, и вот тут то все станет на свои места. И будет ясно, КТО И ЧТО!!! делал на сервере и конкретно с нашими сайтами. Особенно интересует время после 8 вечера, когда по утверждениям саппорта мы, получив пароль, целенаправленно там рылись, что бы так сказать, подорвать репутацию компании. Ведь именно так можно расценить их слова. Признать же, что никаких действий с нашей стороны не было, им как видно трудно. А как насчет сайта http://www.smv.od.ua который преспокойно лежит вот уже почти сутки. Это тоже наша диверсия? Вы меня простите, но наш сайт коммерческий, и мы из-за таких вот специалистов, теряем клиентов. По адресу http://smv.od.ua он все таки открывается, но с теми же ошибками. Есть разумное объяснение этой ситуации?

По логам видно, что на фтп заходили по трем айпи, один из них как видно Денис он же Солярис, второй по всей видимости Studio Master Video (если верить whois то айпи Одессы), третий же не понятно чей, но видно Micfo.com LLC SCNET-CUST-1370-MICFO
айпи вылаживать я здесь не стану, но если Studio Master Video захочется их увидеть, мы вышлем их на e-mail
Можно конечно предположить, что данный файл изменялся кем-то намеренно, но не факт. В кроне как видно ничего нету. Но также файл мог изменятся и каким-то из скриптов данного клиента, естественно клиент не осознает, что его скрипты могут быть с дырами. Вред серверу данный (по словам Studio Master Video) троян абсолютно не может, он может действовать только в рамках данного аккаунта, даже если бы мы и удалили его, что было и сделано когда снова был перезаписан данный файл, всеравно это было бы делом времени. В данный момент, дальше не вижу даже смысла проводить дальнейшие находки кто изменял файл, так как сам клиент переехал к другому хосетру.
Поэтому судить вам кто прав, а кто не прав, кто что не сделал и кто что сделал.

Вобще-то данный сайт расположен в данный момент не у нас

соответственно, теперь разбирайтесь с ошибками вашего сайта с хостером у которого и находиться в данный момент ваш сайт.

Вы забываете, аккаунтов было три, и на всех был вирус

И почему-то вирус был только на ваших аккаунтах, как ни странно.
Помоему в данном случае это уже не играет большой роли.

А мне кажется, что вопрос в том, что хостинг компания не разобралась в причине сбоя, а попыталась обвинить во всем клиентов. Но для начала стоило, наверное, проверить все варианты (чего не было сделано!) а не выдвигать фантастические версии, которые лопнули одна за другой. Вообще складывается впечатление, что бы не случилось с сайтом клиента, в первую очередь идет утверждение, что виноват клиент, но ни как ни хостер. Наверное, это правило такое…

При всём уважении, хотелось бы заметить, что если речь об фтп логах, то должно быть видно (имхо) не только кто заходил, но и ЧТО делал с какими файлами. Есть запись в логах фтп об изменении файлов которые менялись?
Что касается "как ни странно это произошло с аккаунтами одного клиента", лично для нас это как раз НЕ странно. Если хакер не любит Studio..., зачем ему лезть к другим клиентам?
Кроме того, мы совсем не на 100% уверены что хостер не виноват, а раз хостер логи не рассматривал (как мы поняли), то утверждать обратное хостеру трудно.
Плюс в нашей памяти ещё свежа утилитка phpr**otev**w, которая до сих пор работает на некоторых западных хостингах (в основном a-la 1Гб за 1уе типа), и работа с файлами одного аккаунта с другого аккаунта через неё вполне реальна, суппорт же на это закрывает глаза и пинает клиента на аккаунте которого происходят полтергейсты. Уверены что на tuthost такого беспредела нет (на "русских" давно не видели что бы она срабатывала - вот кстати аргумент в пользу незападного хостинга), однако так же уверены что "в науке есть много гитик", и без подробного анализа логов и аргументации не стоит утверждать что клиент виноват.

Кроме того считаем что инциндент собственно исчерпан. И клиент и хостер при появлении проблемы решили что проще разбежаться, так какой смысл сейчас выяснять кто прав, а кто виноват? Что от этого изменится?

Разница есть. Ибо один проявил адское терпение, а второй (как видно из названия темы) бескультурие и мстительность. Кто что именно проявил, судите сами.

Предположим что адское терпение с Вашей точки зрения проявил хостер. Мы с этим согласны, кстати.
Но дело-то не в том кто оказался терпеливее в проблемной ситуации. Проблемной заметьте только для клиента.

Вот Вам задачка.

Вы ездите на машине. Своей.
Она каждую ночь стоит на охраняемой стоянке, вход по пропускам, журнал посещений, видеокамеры наблюдения и так далее.
Однажды Вы приходите и обнаруживаете что у машины выбиты стекла, наполовину раскурочен салон.
Вы обращаетесь к хозяину стоянки за разъяснениями, на что он отвечает что Вы во всём сами виноваты.
Вы чините машину, ставите на ночь.
На следующее утро то же самое, стекла выбиты, наполовину раскурочен салон.
Вы снова обращаетесь к хозяину стоянки за разъяснениями, на что он отвечает что это Вы во всём виноваты.
И так неделю.
При этом хозяин стоянки "проявляет адское терпение", но не предьявляет никаких документов в подтверждение своей точки зрения, зато предлагает Вам вернуть арендную плату за оставшийся месяц если съедите.
Ваша реакция? Будете "адски терпеть" подобные ситуации каждый день? Или не будете лицемерить и "бескультурно" выскажите всё что думаете?

P.S.: На данный момент считаем что разницы нет. Ибо если логов и аргументов не было с самого начала, то будет крайне странно если они вдруг появятся.
Чего в этой ситуации не хватает лично нам, так это объяснения причины почему хостер не предпринял никаких шагов (логи и т.д.) что бы указать на виновника ситуации, ибо очевидно, что это сослужило бы и ему добрую службу (тем более что с Соларисом знакомы и весьма хорошего мнения о нём).

Браво!!! Настолько логично, что добавить нечего!!!

Строго говоря это одна сторона медали, мы привели его в ответ на определённое сообщение. Тот же пример можно привести и с другой стороны. Если коротко. Хозяин машины каждое утро жалуется на разряженный аккамулятор, и говорит что "на другой" стоянке такого не было, а хозяин стоянки отвечает что надо разбираться с машиной в сервисе и даёт контакты. Журнал посещений не показывает, ну так его и не просили.
Какой из примеров верный - черт знает.
Поэтому мы и сказали, что ситуация - непонятная.

Продолжение про стоянку с машиной,
А если у машины несколько хозяев? при этом хозяин стоянки даже не знает кто именно, они и пускает всех кто предъявит ксиву мол это моя машина - один из них вдруг машину поломал, второй начал предъявлять притензии - что делать хозяину стоянки?
Как вариант вычислить всех кто подходил к машине, но если машина уже побита - то доказать кто из них побил сложно ибо все они имели доступ к ней.
Поэтому пусть решают сами кто из них ее побил - тоже как вариант.

В данном случае есть три айпи адресса, которые изменяли именно файл index.html через фтп, факт есть? какие еще будут вопросы?

Поэтому у нас единственный вопрос в этой теме, почему клиенту сразу не указали/не подсказали, что причина именно в том, что "какой-то левый" ip адрес изменял файл?

Приведём пример. Имя хостера называть не будем. Человеку взломали сайт. Он попросил нас разобраться. Мы стукнулись хостеру в асю. Изложили ситуацию (индексный файл меняется где-то 1-2 раза в сутки, яваскрипт с троянами и попапами и редиректами добавлялся). Хостер сказал что есть вероятность что взломали скрипт и/или фтп-аккаунт, и что сомнительно что взломали через него. Мы попросили логи, только тогда он спросил логин/пароль от аккаунта и номер договора, сразу после получения этой информации выслал логи доступа по ФТП, посоветовал посмотреть хттп тоже, спросил не закрыть ли пока аккаунт на время пока мы разбираемся - а то вдруг чего хуже случится. Предложил выложить бакапы недельной давности для сравнения.

Вот ЭТО с нашей точки зрения нормальное разрешение ситуации.
А "проблема у Вас, у нас проблем не бывает" это немного ненормально.

edogs
В том то и дело что аргументы мы приводили, если нужно могу их по порядку привести.

Мы такого не говорили. Мы говорили только что проблема не в настройках сервера. Что успешно и было доказано.

Это не точная цитата, это наше восприятие 3 файлов диалога.

1) Вот нам и непонятно почему задача хостера была доказать что проблема не в настройках сервера, а не помочь клиенту решить ситуацию. Смотрите наш пример выше нас с другим хостером, и сравните с ситуацией между Вами и этим клиентом. Понимаете о чем мы говорим? Разницу?
2) Cобственно доказательств отсутствия проблемы в настройках сервера мы не видим. Вы показали что был доступ с 3-его IP и что файл изменялся через него, а вот откуда у этого ИП доступ взялся вопрос открытый. Или мы что-то упустили? Тогда повторите пожалуйста.
(мы понимаем что вероятность взлома/дырки,утечки_паролей у хостера оичнь и очень мала, но заявлять что она абсолютно невероятна это сродни 100% аптайму).
P.S.: Привет :-)

Чего нельзя сказать о корнях конфликта, они-то прозрачны - ни одна из сторон не дала другой время на анализ проблемы. ICQ-техподдержка, что б её...

Красивый финал - взаимные извинения и букет роз от хостера милому администратору сайтов. Я бы после всего этого, наверное, даже женился. Не часто встречаются женщины, которые взрываются после стольких часов разборок .

Вот и где такие админы берутся?
Так почему сам админ не обратился и не сказал в чем собственно проблема?

Тоже самое и обратное, как обычно отвечают клиенты: - проблема в вашем сервере и все тут, потому как у других работает, а у вас нет, значит сервер - делайте что хотите с ним, но чтобы мой скрипт работал (иногда даже не могут объяснить что не работает).
Но почему-то то, что доступ к аккаунту имело несколько человек было проигнорировано. Да и практически все наши предположения были полностью игнорированы. Поиск все же продолжался, а от клиента шли только жалобы мол, это все сервер виноват и все тут (как в таком случае прикажите работать). В конечном итоге клиент вобще решил перейти на другий хостинг - естественно поиск причины и прекратился

Теперь скрипт этого сайта не работает и на другом хостинге, а нас все опять продолжают хаить мол это мы виноваты.

На мой взгляд, и имеется то, что имеется - те ничего непонятно - отчасти из-за того, что обсуждение ушло в плоскость "кто виноват" - а не в плоскость разбора технической стороны полтергейста.

Физически файл на сервере менялся? Когда менялся? Не были ли эти изменения как-либо связаны с какими-то другими событиями в логах. И тд и тп

Кстати, насколько я понял, на одном из аккаунтов был только HTML с JAVASCRIPT

Ведь javascript скрипты работают в броузере, а не на сервере, разве там могут быть дыры, позворляющие неизвестному хакеру перезаписывать файлы на сервере?

Или все-таки файл на сервере не менялся - а менялось отображение страницы в броузере?

И вообще javascript - если есть на него какие-то подозрения, можно сменло убирать - по крайней мере, временно - ибо все равно есть пользователи, которые просто его отключают в настройках броузеров

Или все-таки на всех аккаунтах были и скрипты, работающие на стороне сервера?

Для edogs

При любом раскладе все сообщения автора справедливые, даже те, что могут нам лично не нравиться. Но даю ЧЕСТНОЕ СЛОВО! что ни кто из наших, не портил ничего. Хотя в этом сложно убедить. Если провести аналогию с машиной, то права трех пользователей примерно строятся так. Админ – можно все: крутить руль, нажимать на педальки или вообще сдать в металлолом, если надоест. Второй член группы – водить не умеет, и все что может сделать конкретно на аккаунте (машине ) Админа, протереть фары. Третий, абсолютно те же права. Общая папка, и только она, находящаяся на аккаунте админа, к которой имели доступ три человека, использовалась, как обменник необходимой нам троим инфы. Два остальных аккаунта, были открыты только для админа и его хозяина. Но вирус был на всех трех. Таким образом, если мы будем брать в расчет только два аккаунта, вывод, либо админ, либо хозяин там натворил этот бидлам. Но, сами понимаете, ни одному, ни другому это невыгодно, хотя бы с экономической точки зрения. Хозяину сайта не выгодно терять клиентов, мне же потерять клиета в лице хозяина сайта. Дружба дружбой, а бизнес бизнесом.

Насколько мы поняли тутхоста, файл менялся физически на сервере через ФТП доступ с 3 разных ИП. Одно тутхостовское, одно клиентское, одно неизвестное.

Вы можете гарантировать что ни у кого из Ваших не было трояна уводящего пароли на фтп? Или сниффера траффика на момент получения паролей почтой/асей?
Хм. Раз уж Вы так вопрос ставите, то дадим совет, возможно запоздалый. Проверьтесь антивирусом по полной. Все у кого есть доступ. Смените логины/пароли. Не пользуйтесь бесплатной почтой. Соединяйтесь с сервером только по ssl, в том числе для получения почты. Отключите в виндах всякие "remote desktop", поставьте последние патчи. Выкиньте все подозрительные программы, переставьте те которые нельзя выкинуть. Поставьте файрволл. Пригласите специалиста посмотреть на Ваш компьютер в этом плане.

Очень приятно приятно видеть админа в числе своих поклоннников, но я уже замужем Но а если кроме шуток, то конечно, конфликт страшно утомил, очень много попортил крови.

Так уж мир устроен. Одним - все, другим - ничего.

У одних и мужья, и поклонники, и трояны - а у других - не то что мужа, поклонников и сайта - а даже компьютера нет

Так что просьба это осознать и не портить кровь сотрудникам Тутхоста

Нет, чего чего, а этого гарантировать, конечно не могу. Но в догонку, хочу опять подколоть и хостинг компанию. Они к сожалению, тоже не могут ничего гарантировать в плане защиты. Ну ладно... это как говориться дело какждого, как работать.



Первый пунк уже сделали на нашем компе, остальным тоже скажем провести процедуру. Все остальное попробуем выполнить максимально точно. Уж что что, а лишний раз поберечься еще никому не вредило. Спасибо за советы! Было очень ценно прочитать!

Гм... извините, а где это он не работает? Может посмотрите внимательно? Благо первый домен уже НАКОНЕЦ ТО перевели на новый хост. Осталось только проверить его работу.
http://smv.od.ua что так
что так http://www.smv.od.ua Все работает.

хмм...


а без www открылся... ну и тяжеленный... по страницам не полез, я с GPRSа

Да, не спорю, тяжеловат… все руки не доходят, хотя б с флешом решить этот момент. Но что касается доступа, у меня открывается по двум адресам без проблем. Но если и у других та же фигня, завтра будем смотреть что там к чему.

dns-ы могли закэшироваться, если так, то пройдет обновление - будет ок.
Мы не пренебрегаем вот этой проверкой http://hostobzor.ru/tools/tracert.php Вводим адрес сайта, смотрим до какого IP идёт trace.

Не очень поняла как пользоваться этой штукой... Тыкала на все вкладки и проверяла сайт... что то непонятное выдало, вернее не понятное для меня Ну, мой вывод, надо мнго учиться... Но даже почитать некогда, что на этом форуме умные люди пишут, но бум стараться, бум по мере возможности

Честно говоря, настроение начинает потихоньку возвращаться к позитиву. Надеюсь с первым сайтом, это таки кеш, а не очередные проблемы. Поэтому, осталось пробудить к жизни еще два и все будет ХОКЕЙ!

Все три сайта были инфицированы одной из модифицированных версии Trojan-Downloader

http://www.securitylab.ru/virus/241587.php
http://www.viruslist.com/ru/viruses/encycl...?virusid=103219

если кому интересно поглядеть на него можете запустить сайт http://upgrade.od.ua

Там он еще лежит с трояном, на сервере tuthost

Теперь о том, как он туда мог попасть.

Сразу отметем глупость о впихивании Трояна через скрипт. Так как на сайте нет скриптов работающих напрямую с сервером. То есть сайт не подлежит взлому на уровне самого сайта.

Теперь остановимся на остальных вариантах.
Есть три варианта.
1) Инфицирован уже на компьютере пользователя.
Исключено. Так как не могло быть, что инфицирован только index.html, вряд ли троян будет избирать, кого ему инфицировать. Да и не работает этот Троян так.

2) Похищение или взлом пароля через ftp.
Сомнительно. И всех трех? Это вообще не реально. Потому как не кто не будет их выискивать именно эти сайты. и рыть к ним пароли.

3) Взлом аккаунтов сервера изнутри.
Вот это намного более реально. И совершенно не заметно. Сам видел, как это делают, не имея root. И заменяют на аккаунтах первые страницы сайтов.
Достаточно одному злому хакеру взять маленький тариф и поселится на этом сервере, всё, пиши пропало, если нет должной защиты.


Далее идет мое личное мнение. Возможно оно не правильное. Так как большого опыта у меня нет общения с этой компанией, и он сформировано на личных впечатлениях.

Теперь кто виноват. Могу сказать так, не одна крупная компания не будет разбираться, что там делается у пользователя. И это понять можно.
Мелкие компании должны сразу заинтересовываться проблемами клиента. Тем более что эта проблема затрагивает и их самих. И единственный их шанс выжить, это каждому клиенту уделять максимум внимания.

По моему разговору с клиентом и поддержкой тутхоста я пришел к выводу, что поддержка не очень компетентна, мы увидили только отмазки и все, и ни одной попытки решить проблему. Работают очень медленно на мой взгляд и лениво. А ведь проблема достаточно легко решима.

На мой взгляд, если компания не может решить проблему своими силами она должна пригласить специалистов со стороны.
Клиент не должен заниматься такими вещами. Если Компания разберется, что проблема исходит от клиента, то они должны объяснить, как бы он мог решить проблему.
Чем кончаются такие истории, пущенные на самотек, мы видим.


ЗАПОМНИТЕ, КЛИЕНТ ВСЕГДА ПРАВ, даже если он не прав на ваш взгляд.

Подождите, если был взлом, что к примеру можно допустить (ничего супер защищенного не бывает), то кто ж таки был третим IP, который и изменял index.html через фтп?
Да и если вы полностью все читали, то когда клиенту были сменены пароли, файлик опять таки не изменялся, стоило только вернуть пароль клиента обратно, файлик опять изменился.