Всемирный день идиота или как удалить самих себя
Предлагаю сегодня, 10 октября, во Всемирный день идиота по мнению Google, еще раз поделиться собственными наблюдениями обоснованности дня в комментариях, а также рассказать, как в один миг можно потерять крупный проект или же получить огромный ущерб просто потому, что от идиотов никто не застрахован и временами стать идиотом может каждый из нас.
За последний год мы насмотрелись много примеров идиотизма из-за которых страдали наши клиенты и где мы не особо увы могли оказать помощь. В частности у нас размещается несколько крупных сайтов для взрослых с аудиторией более миллиона посетителей в сутки на каждом. Интересно, что один из таких клиентов пострадал трижды.
В ответ нашему регистратору из Украины, который сотрудничал с регистратором EPAG и через которого делегировалась эта странная зона, было отправлено письмо:
Dear Daniil, the domain is transferred away and now managed by DNS BE because Domain name | Registrant handle | Incorrect / incomplete data
pornktu.be | c23320952 | Address
Article 8 of our general terms and conditions states that the contact details associated with a domain name must be correct. We have asked the domain name holder to correct and/or complete his data. The holder must do this within 14 days, otherwise we will cancel the domain name. This information was also sent to the registrant, who did not respond in given time.
После контакта с регистром, только на следующий день удалось получить от них ответ, так как их офис в Бельгии закрывался в 5 вечера и они просто позднее не работали:
После регистр запросил полную верификацию, вплоть до доказательства, что домен покупали у нас (ua-hosting.company), при том, что мы сотрудничали по этой зоне с ukrnames.com, а те в свою очередь с ASCIO. И никто из вышестоящих регистраторов сутки не мог назвать причину, почему отобрали домен 😉
What must you do to reactivate your domain name?
Step 1: prove that you registered the domain name: Are you a private person? Provide a copy of your identity card. Do you represent a company? Provide an extract of the Crossroads Bank for Enterprises. Also provide the proof of purchase or order form of your domain name
Step 2: transfer your domain name from quarantine: We will give you a transfer code to transfer the domain name from quarantine. Give this code to your registrar or hosting company. They can perform the transfer from quarantine and will charge you for this. Attention! Make sure your registrar enters your details correctly and completely. Check this afterwards by requesting a registration certificate (click here). If you don’t do anything, the domain name will become available to everyone on 13 April 2021. Questions on this topic? Please contact us. Kind regards.
В итоге из-за этого бардка и неадекватности регистра домен был заблокирован 3-го марта и забран принудительно регистром (отобран у регистратора из его аккаунта без уведомления об этом) и работа домена была восстановлена только спустя 2-е суток, 5-го марта.
«Пока сложно сказать, но google уже успел выкинуть даже «брендовые страницы». Через пару дней будет чёткая картина».
На графике видно как просела посещаемость в пятницу, в сравнении со средним значением в эти дни.
Но история на этом не закончилась.
Не работайте с крупными дата-центрами, где вместо работы вы общаетесь с бездумными (или безумными) бюрократами, они также могут уничтожить ваш проект, особенно если у вас только 1 » target=»_blank»>сервер
На этот раз 16-го марта 2021 год его сайт с милионной аудиторией решили заблокировать по другому поводу:
We would like to inform you that a server under your administration, server 146263, is actively engaging in suspicious network activity in the form of hacking other servers. Due to the severity and impact of the actions seen we are unfortunately forced to shut down connectivity to the public network in order to mitigate the abuse within 30 minutes. Please note, this server should be reinstalled before coming back online. Hope to have informed you sufficiently.
Особенно порадовало требование переустановить » target=»_blank»>сервер, чтоб восстановить его работу после такой жалобы (вот почему мы более не сотрудничаем с LeaseWeb и не ставим у них новые » target=»_blank»>серверы). Ответ клиента не заставил долго ждать:
Эта машина в кластере была, про подозрительную активность бред. Как запарили эти европейцы. Ребята сейчас на всякий случай всё проверяют, но мизерная вероятность. О жалобе мы узнали только, когда » target=»_blank»>сервер отключили. На кластере было несколько сайтов, основное восстановили, но не везде бекапы свежие и на отключенном » target=»_blank»>сервере есть часть важных данных без которых сайт не работает полноценно.
Благо мы знали как спасти свежие данные и активировали для клиента VLAN, через которую он смог унести свежие данные, которые могли быть утеряны из-за действий сотрудников дата-центра и напомнили ещё раз о важности резервного копирования. Клиент проверил » target=»_blank»>сервер и никаких признаков компроментации не обнаружил, при этом дата-центр продолжил требовать переустановку » target=»_blank»>сервера.
We can see in the log of the router that the mac address of the server [146263] is using other IPs than the customer’s original IPs. Which indicated this server is compromised. That’s the only information we can share with you unfortunately, we cannot share the log files, as this contains other customer information.
We require that the server is booted into rescue mode, and then let us know by mail when this is done, so we can enable the switch port. Then you will be able to do a backup, please let us know when you finalized this. Please note the server must be reinstalled, prior to public connectivity being restored.
Но клиент, чтоб было быстрее, уже согласился, что:
Систему переустановят, скрины предоставят с процессом. Все порты закроют, патчи безопасности накатят. Это всё что можно сделать. Саппорт ничего подозрительного не обнаружил.
Хотя его администраторы ничего подозрительного не нашли. Однако позднее ситуация стала еще более интересной, дата-центр сообщил, что все-равно не может разблокировать » target=»_blank»>сервер (предоставив новый » target=»_blank»>сервер на замену), потому что им якобы сейчас заинтересовалась полиция.
Our apologies for the overall delay in response. We just received a verbal command from the Dutch police and the prosecutor’s office to stop access to your server. Your server [146263] is part of an ongoing police investigation, therefore we can no longer provide you access to the server, also not in rescue mode.
We have prepared a new server for the time being for you to make use of, our sales colleague will send you the credentials shortly. Your server most likely will be made available within 2-3 weeks upon its return by the police, however, please note, this is an estimate and it is possible that the police require more time investigating your server.
Due to the confidentiality, we were not able to share any information earlier, hence the request for you to make a backup of your services prior due to ongoing abuse on your server.
When your server is returned by the police, we will inform you of this. We trust to have informed you sufficiently.
Мы им ответили, что никакие «вербальные команды» не могут быть законны, предварительно уточнив у нашего нидерландского партнёра на нашей новой площадке в Maincubes этот момент и сообщили об этом в LeaseWeb.
Клиент конечно всё понял, но также был впечатлён:
Ну что за идиоты? То у них взлом, теперь вот спустя сутки расследование нарисовалось. Занимаются фигней и людям работать не дают. И врут ещё, мол попросили они бекап сделать заранее. вот это новости!
Тем не менее, хотя клиента мы спасли и давно нашли решение, я продолжил диалог с дата-центром о законности их требований. Буквально через несколько часов поступил апдейт, что полиция исключила » target=»_blank»>сервер из расследования, тем не менее