| Выбираем dedicated-сервер для хакерских проделок
Часто хакерам не хватает собственного компьютера для
своих злодеяний. Скажем, человек, увлекающийся троянами,
обязательно захочет иметь на попечении сервер для логов.
Чувак, взламывающий буржуйские сайты, пожелает купить
безопасный сервер для VPN и Proxy. Но хакеров мало кто
любит, поэтому сколько проживет «черный сервер»
неизвестно. Хочешь узнать, как увеличить срок жизни до
максимума? Тогда слушай сюда.
[DS и VDS - найди 10 отличий]
Прежде чем обсуждать проблемы приобретения серверов,
определимся с базовыми понятиями. От начала до конца
статьи я буду говорить про Dedicated-сервера. Здесь
Dedicated означает «выделенный», то есть клиенту
выделяется целый сервер, естественно, с рутовыми
правами. Тут имеют место две разновидности: либо
человеку выделяется отдельная машина в серверной стойке
(DS), либо сервер запущен виртуально, сродни VmWare (VDS).
Естественно, что по стоимости виртуальный выделенный
сервер в 5-8 раз дешевле реального. Это понятно -
затраты на инсталляцию настоящей машины куда больше, чем
запуск скрипта, инсталлирующего новую OS на уже
существующей станции. Но у виртуального сервера есть ряд
существенных недостатков, которые обязательно следует
учитывать перед покупкой. Не будет лишним их
перечислить.
1. Несмотря на рутовые привилегии, тебе не удастся
добавить новое устройство или пересобрать ядро. На
некоторых машинках даже нельзя управлять sysctl'ом,
использовать iptables, загружать модули и т.п.
2. На тарифных планах с виртуальным сервером обычно
не предоставляются дополнительные IP-адреса. Данный
недостаток может быть критичным для некоторых проектов.
3. Безопасность в VDS оставляет желать лучшего. Так
как машина содержит несколько серверов, администратор
может легко заглянуть на твой виртуальный жесткий диск и
легко там пошариться. С реальной машиной такое не
пройдет - чтобы посмотреть содержимое винта, следует,
как минимум, снять машину из серверной стойки (служба
поддержки вообще не имеет права войти на сервер без
твоего согласия).
Обычно хостинговые компании, которые предоставляют
приватные серверы, продают и реальные. Я сторонник
полноценных дедиков и всем советую покупать только DS, а
не экономить на своей безопасности. Но дело, как
говорится, твое :). Напоследок упомяну, что реальные
машины стоят от 40 до 500 баксов в месяц (есть
эксклюзивы и по $999, но о них я пока умолчу :)), цена
виртуальных машинок колеблется от 5 до 100 долларов в
месяц.
[каким путем пойти?]
Допустим, ты решил приобрести себе машину для разных
хитрых целей. Сперва встает вопрос о проверенных и
надежных датацентрах, где можно купить заветный сервер.
Взять дедик можно двумя способами - напрямую, либо через
посредника. Я рассмотрю оба случая, а ты выберешь для
себя самый оптимальный.
Первый способ заключается в поиске человека,
торгующего серверами. Отыскать таких можно на любых
форумах по сетевой безопасности. За примерами далеко
ходить не надо, в недавнем выпуске Х NSD писал статью
про подобные форумы. На каждом из них ты найдешь минимум
2-3 объявления с такими услугами. Народ там наверняка
проверенный, но не стоит думать, что, купив сервер, ты
приобретешь поддержку 24/7 и стабильный аптайм. Нередко
реселлеры покупают серверы у плохих датацентров и не
читают почту с накопившимися жалобами :). Все это ведет
к внезапному блокированию аккаунта. Еще одна проблема
кроется в том, что если ты накосячил с настройками
сервера, перезагрузить, а тем более починить машину
будет проблемно. Суди сам, для этого тебе потребуется
найти чувака, который покупает сервер и заставить его
отписать в техподдержку датацентра. Учитывая пофигизм
продавцов, сделать это очень сложно. |
| Из плюсов могу отметить то, что продавец всегда
посоветует самую безопасную страну, у тебя никогда не
будет проблем с оплатой сервера, а также гарантирует
некоторую анонимность (по крайней мере, вычислить тебя
будет непросто). Но по моему скромному мнению,
все-таки лучше работать напрямую с хостингом. Это
позволит оперативно отреагировать на жалобу в твою
сторону, а также не переплачивать на услуги продавца (он
может содрать с тебя лишние 20-30 долларов).
Но при прямой работе с датацентром, необходимо четко
знать, в какой стране тебе нужна машина. Если сервер
берется для паленого проекта, то стоит брать машинку в
Азии (Китай, Корея, Тайвань). В таких центрах
администраторы более лояльны к абузам, а иногда и вообще
их не читают. Если ты решился брать дедик в штатах, то
будь готов к внезапным отключениям из-за малейшего
нарушения правил. Еще одним оптимальным вариантом
является Европа (Нидерланды, Германия, Италия).
Специально для тебя я оформил врезку с адресами
датацентров, которым можно доверять :).
Далее, после того, как ты определился со страной,
нужно убедится, что покупка может быть совершена с
помощью популярных платежных систем. О WebMoney можно
сразу забыть - буржуи не любят наши деньги :). А вот
Western Union, Egold и Paypal принимают многие хостеры.
Напрямую деньги за услуги лучше не переводить.
Достаточно обратиться к многочисленным обменникам,
например expertexchange.ru и обменять WebMoney на любую
другую валюту.
Помни, что многие датацентры берут скрытые платежи -
за инсталляцию и техподдержку. Эти вопросы лучше сразу
же уточнить предварительным письмом. И запомни самое
главное правило - никогда не пиши им с русского
e-mail-адреса. Некоторые тебе просто не ответят, а
некоторые охотно зарегистрируют, но отключат сервер
сразу же после первой жалобы. Все-таки сочетание
«русский хакер» известно и за рубежом. А вот, если ты
представишься америкосом, то можешь существенно
упростить процесс рассмотрения жалоб.
После того как сервер оплачен, через 2-3 дня его
поднимут и отпишут тебе IP-адрес, логин и пароль. С этой
минуты ты можешь пользоваться своей машиной, сканировать
подсети на баги, складывать туда логи от троянцев и
многое другое. Но, до первой жалобы :).
[ох уж эти абузы]
Так называемые абузы (abuse или просто арбузы :))
регулярно будут поступать в адрес security-службы твоего
датацентра. Эксперты оценят вес жалобы и обязательно
оповестят тебя об инциденте. Здесь все зависит от правил
хостера, которые следует обязательно прочитать перед
регистрацией. Некоторые компании сразу же блокируют
доступ к серверу при первом же случае (обычно
Американские центры), другие же допускают 1-2 жалобы,
после чего предупреждают об отключении. Третьи просто
рекомендуют разобраться напрямую с пострадавшим с
обязательной копией всей пересылки в адрес
security-службы. И, наконец, бывают и абузоустойчивые
центры, которые вообще не воспринимают какие-либо жалобы
:). Последних очень мало, да и цена на такие «черные
сервера» может достигать до 1000 долларов в месяц. Но
согласись, что безопасность дороже денег :). |
| Предположим, что ты затроянил какого-то ламера через
проксик, стоящий на твоем дедике, и жертва запалила твой
IP-адрес (не совсем твой, конечно, а адрес выделенного
сервера). Пострадавший жалуется в датацентр, объяснив
всю суть проблемы и приложив логи своего файрвола. После
этого служба безопасности отписывает тебе письмо с
претензией. Здесь, как я уже говорил, все зависит от
правил компании, но если тебя сразу не отключили, то
есть шанс выйти сухим из воды. Я бы поступил следующим
образом: вначале отписал службе безопасности о том, что
на машине был поставлен анонимный проксик через дыру в
системе и какой-то хакер сидел через него. Для остроты
ощущений можно приложить какие-нибудь псевдо-логи и
IP-адреса нарушителей. Если ты зарегистрирован не под
русским e-mail'ом, то есть шанс, что тебе поверят и
оправдают. В любом случае не теряй надежды, даже если
жалоба очень весомая. Всегда можно найти компромисс или
наврать с три короба, после чего админы либо забудут про
инцидент, либо дадут время самостоятельно решить
проблему. Бывает, что жалоба очень серьезная и
оправдать себя тебе будет невозможно. Скажем, если был
взломан какой-нибудь крупный проект, либо если дело
касается спама. В этом случае тебе нужно убедить
администрацию не отключать сервер 1-2 дня для изучения
проблемы, а за это время сделать backup всего софта и
удалить все системные журналы (можно вообще удалить всю
информацию с HDD специальными утилитами).
Один мой приятель каждый месяц меняет машину на
хостинге, регистрируясь заново под новым мылом. Как
показывает практика, за месяц «свечения» машины в сети
маловероятны жалобы, по крайней мере, их не так много,
чтобы дать повод security взять сервер под наблюдение.
[скрытая угроза]
Вполне может быть, что на твой сервер решили
пожаловаться не датацентру, а, например ФБР или
Интерполу. В данном случае спецслужбы обратятся к
хостеру и выберут специальную стратегию. Скажем, никто
не оповестит тебя о нарушении, а весь трафик будет
поставлен на прослушивание. Определить подобное сложно,
но можно попробовать это сделать. Во-первых, попробуй
воспользоваться методиками обнаружения пассивного и
активного снифинга (я об этом писал в Х 07/2005) -
поставь пару софтинок, например arpwatch. Далее можно
установить какую-нибудь локальную IDS, чтобы не
допустить замену системных файлов. И, наконец, если ты
заметил внезапное отключение машины без причины на
несколько часов (или даже минут) есть повод задуматься.
Возможно, твой сервер выдвигали из стойки, а жесткий
диск снимался для изучения. Если ты вляпался во что-то
серьезное, рекомендую залечь на дно и вообще не заходить
на сервер. |
| Скажу также про заходы на сервер и безопасность.
Обязательно используй прокси при коннекте в консоль. Оно
того стоит, поверь мне, если спецслужбы решат поизучать
содержимое жесткого диска или поставят машину на
прослушку, проксик или сокс спасет тебя от незваных
гостей. Что касается системных логов, то их рекомендую
убить сразу - тебе они вряд ли пригодятся, а
администрации их лучше не изучать :). Но что же
делать, если твой сервер внезапно отключили? Не стоит
впадать в панику, быть может, дисконнект произошел
случайно или «за неуплату». Сразу же стоит написать
письмо в техподдержку, на которое тебе обязательно
ответят. Если причиной отключения стал абуз, тебя,
скорее всего, отправят на длительную переписку со
службой безопасности. В противном случае, тебе
предоставят счет к оплате, либо скажут, что сервер лежит
по аварийным обстоятельствам. Еще раз напомню, что в
подобных случаях следует держать ухо востро - быть
может, твою машинку пытаются поставить на прослушивание.
[брать или не брать?]
Про особенности выделенных серверов можно написать
несколько статей, но, думаю, после прочтения этой ты
понял важные моменты: где, как и за сколько реально
купить сервер под личные нужды, а также правила общения
со службой безопасности. Но если у тебя что-то не
клеится, или ты не можешь определиться со страной,
задавай вопрос на почту - отвечу, как только смогу :).
что, где, почем?
С твоего позволения, позволь представить список из
известных датацентров, у которых можно брать выделенные
серверы. С этими компаниями имел опыт либо я, либо
кто-то из моих приближенных коллег.
* www.fdcservers.net. Американский датацентр, штат
Чикаго. Я работал с ними примерно год, и могу сказать,
что проблем с абузами у меня практически не было. Аптайм
сервера примерно 90-95% в месяц (реально бывали
перебои), но саппорт отвечает довольно быстро через
Web-based-helpdesk. Цены на серверы колеблются от 50 до
200 долларов. Приплюсуй к этому бесплатные добавочные
IP-адреса и халявный трафик :).
* www.theplanet.com. Америка, Даллас. Быстрый сетап
сервера, аптайм 100% (реально без перебоев), мощные
сервера вплоть до кластерной технологии, винт от 160 гб/raid.
Есть возможность общаться с суппортом по микрофону через
специальный гейт, который доступен на сайте (если,
конечно, хорошо знаешь английский :))
* www.leaseweb.net. На этот раз датацентр из
Голландии. Здесь сервера можно купить за 200-300 евро за
3 месяца, плюс к этому нужно платить за трафик (1 гиг -
1 евро) и за добавочные айпишники. Но прежде чем
сотрудничать с ними, ознакомься с их запутанными
правилами, поможет в будущем :)
* www.hostik.com. Китайский датацентр. Принимают
PayPal, ставят сервер всего за сутки. Перебоев не
наблюдал, но сам сервером не пользовался (описание со
слов знакомого). Но Китайцы народ лояльный, поэтому
абузы почти не воспринимают, а уж тем более не блокируют
аккаунт. |
(Администратор не несет ответственности (Автор Денис
Евгеньевич)
|