|
Услуги сисадмина
|
|
 Glueon |
{Пользователи}  {Заглянувший} {Сообщений: 14}
|
|
Offline
|
Дата: Пятница, 27.03.2015, 21:21 | Сообщение # 1 [2428]
Сплоченная команда сисадминов предлагает свои услуги. В публичном режиме мы начали работать в прошлом году на Серче, там же есть несколько отзывов.
Небольшой список задач, которые мы выполняли:
Поиск уязвимости в проекте на PHP. Периодически в магазин без перевода денег вводились средства на счет, с последующим выводом в реальные деньги. Был проанализирован трафик для изучения сценария работы хакера, найдена и устранена уязвимость в платежном шлюзе. Проведен абузинг сервера злоумышленника.
Установка и настройка операционной системой с полностью шифрованным диском с возможностью разблокировки по безопасному шифрованному соединению, с упором на безопасность на базе Gentoo Hardened.
Объединение географически разбросанных серверов в сложные сети посредством OpenVPN с шифрованием трафика с целью обеспечения безопасного обмена информации между внутренними сервисами проекта, такими как redis, memcachedb, mysql и прочими.
Настройка KVM, Xen и OpenVZ виртуализации и маршрутизации совместно с VDSManager/Proxmox и биллинг системой WHM/AWBS с целью создания VPS хостинга с автоматически создаваемыми VPS-серверами. В том числе настройка возможности пробрасывания посредством VPN IP адресов с других серверов на сервера cодержащие VPS с целью предоставления IP из различных локаций, при этом храня VPS в одном месте. Выбор правильного IP производится автоматически при покупке VPS из необходимой локации.
Разработка PHP/Bash скриптов для автоматизации различных процессов. Как правило PHP используется для написания админ-панелей, bash для server-side скриптинга.
Организация автоматизированной работы выделенных серверов. Проанализированы протоколы работы ПО коммутатора и IPMI выделенных серверов. Разработан комплекс программ для управления питанием серверов, реинстала сервера с возможностью выбора O/S, автоматического подключения RescueCD, а также подсчета и визуализации расходуемого сервером трафика по данным с коммутатора. Интеграция функционала с биллинг системой WHM отдельным плагином.
Создание backup-платформы, с автоматическим криптованием удаленного архива, и использованием приватного\публичного ключа для разархивирования.
Разработка дополнений и модулей под WHM для админских целей. Например модули для ДЦ Leaseweb, Hetzner, а также Proxmox, дополнение для более гибкого управления настраиваемыми опциями.
Выбор стратегии администрирования сервера. Была проанализирована работа текущих администраторов компании, и дан комплекс рекомендаций по улучшению работы с сокращением издержек. Вместо ручных бекапов - bacula (с доступом по приватному ключу), мониторинг - nagios, внутренне общение - ejabberd, среда виртуализации - proxmox.
Помощь в выборе серверного оборудования. К нам обратился владелец bitcoin-кластера, была дана консультация по покупке оборудования и предоставлен список ДЦ где имелись подходящие условия по collocation.
Чистка веб-сервера от iframe и последствий взлома, поиск скрытых редиректов. После проведения работы был составлен список серверов злоумышленников, где выполнялись скипты и предоставлены заказчику данные abuse отделов с примерным текстом abuse.
Сокращение бюджета на ваши серверы. Партнерская программа обратилась к нам с вопросом о нерациональном использовании серверов. После анализа их текущих мощностей был составлен план переезда на более дешевое железо. Выгода составила 480 долларов ежемесячно.
Базовая защита от ddos. К нам обратился игровой сайт с проблемой дороговизны анти-ddos решения (проксирование) и низкого его качества. После анализа был сделан вывод о необходимости переезда на более качественное железо и ёмкий канал + небольшая настройка nginx. Бюджет на проект сократился на 70 долларов ежемесячно.
По финансовым расчетам и некоторое подобие SLA/TOS:
Возможна оплата после работы в случае предварительного подтверждения вашей личности в пм.
Постоянным клиентам - никакой бюрократии. Работа в кредит, оплачивайте по мере совести. Доверие - наше все.
В контактах реагируем в течение часа по рабочему времени (GMT+3 ). Это то, что мы гарантируем. Обычно в онлайне продолжительное время и в будни, и в выходные.
Если вы хотите получить нашу консультацию бесплатно, создавайте тему на форуме и кидайте ссылку на нее в личку или другие контакты. Ответим не мы, так кто-нибудь другой.
Наши контакты:
jabber: slava@contactroot.com
skype: contactroot
icq: 657324100
Стучите куда удобнее. Разберемся. 
ContactRoot: админим и кодим.
Сообщение отредактировал Glueon - Пятница, 27.03.2015, 21:21 |
|
|
|
|
| SuperMax |
{Пользователи} {Заглянувший} {Сообщений: 10}
|
|
Offline
|
Дата: Суббота, 28.03.2015, 11:27 | Сообщение # 2 [2428]
1) Если у вас блог (или любой другой сайт на популярной CMS), то что произойдет, если пароль к вашему администраторскому аккаунту утечет в сеть и любые данные могут быть скомпроментированы или удалены? Вы уже настроили удаленное резервное копирование? Если что-то подобное произойдет в выходные, не потеряете ли вы 48 часов до первой реакции и чем это может быть чревато? Если бекапы настроены, то в силах ли вы их восстановить сами в адекватный промежуток времени?
2) Если у вас имеется приложение для FB/VK или инфо-продукт, справится ли ваш сайт с внезапно возросшим трафиком? Установлены ли у вас проактивные системы мониторинга активности и извещения по почте/асе/джаберу/sms в случае достижения пиковых значений?
3) Если у вас бизнес, связанный с большими массивами данных (file sharing, torrent-tracker, backup service, VCS), готова ли ваша инфраструктура к балансировке между общим объемом хранимых данных и производительностью? Какие варианты решения ситуации внезапного резкого потребления трафика?
4) Если вы управляете рекламной сетью, то предусмотрен ли у вас случай увеличения в короткий срок производительности до несколько миллионов показов? Как ваша инфраструктура впишется в масштабирование мощностей? Отслеживаете ли вы доступность и нагрузку на каждый отдельный элемент, где имеется реальный трафик (landing pages, feed, statistic page)?
5) Если у вас свой интернет-магазин, то что случится если платежный шлюз (или связь между вашим сервером и gateway/API) упадет? Что будет с потенциальными клиентами и какого ваше время реакции на данную серьезную проблему?
Мы готовы делиться с вами негативным опытом наших клиентов и предупреждать убытки. Подобный аудит довольно затратное по времени мероприятие, поэтому мы не можем гарантировать мгновенные результаты. Все сроки проведения работ оговариваем в прямой зависимости от нашей нагрузки.
ContactRoot: админим и кодим.
|
|
|
|
|
| Glueon |
{Пользователи} {Заглянувший} {Сообщений: 14}
|
|
Offline
|
Дата: Четверг, 21.05.2015, 22:43 | Сообщение # 3 [2428]
Привилегированный пользователь виртуальной машины потенциально может вызвать ее сбой и запустить произвольный код в хост-системе с разрешениями QEMU. Даже если виртуальный дисковод не настроен, эту уязвимость все равно можно будет эксплуатировать.
Больше информации вы можете почерпнуть в статье на ZdNet (link - http://www.zdnet.com/article/venom-security-flaw-millions-of-virtual-machines-datacenters/ ).
Если ваш виртуальный сервер за последнюю неделю без предупреждения перезагружался, вероятно хостер обновлял ПО на сервере и вы уже находитесь в защищенности.
Небольшой обзор более мелких проблем:
1) Компрометация системы в Magento. Удаленный пользователь может скомпрометировать целевую систему. Уязвимость существует из-за ошибки, позволяющей обойти механизм аутентификации.
Обновление доступно на официальном сайте: http://www.magentocommerce.com/products/downloads/magento/
2) Отказ в обслуживании в FFmpeg. Удаленный пользователь может вызвать отказ в обслуживании.
Обновление доступно: https://github.com/FFmpeg/FFmpeg/commit/e8714f6f93d1a32f4e4655209960afcf4c185214
3) Межсайтовый скриптинг в FreePBX. Удаленный пользователь может осуществить XSS-атаку.
Подробности: http://git.freepbx.org/projects/FREEPBX/repos/digiumaddoninstaller/commits/2aad006024b74c9ff53943d3e68527a3dffac855
ContactRoot: админим и кодим.
|
|
|
|
|
| SuperMax |
{Пользователи} {Заглянувший} {Сообщений: 10}
|
|
Offline
|
Дата: Четверг, 21.04.2016, 11:36 | Сообщение # 4 [2428]
Обращаются клиенты чаще всего с такими задачами:
1) Настройка firewall (блокировка URL, резервирование канала, настройка нескольких провайдеров, балансировка нагрузки);
2) Организация VPN на оборудовании Микротик;
3) Индивидуальные решения (BGP, QoS, DynDNS, etc);
4) Консультации по выбору, покупке и использованию оборудования заказчиком;
5) Выполнение настройки для использования в домашней сети (защита от сканирования портов, правила динамического распределения трафика, доступ к внутренним ресурсам)
Пожалуйста, описывайте сразу суть вашей проблемы (или ТЗ) максимально подробно по любому из наших контактов.
Свяжитесь с нами:
jabber: slava@contactroot.com
skype: contactroot
icq: 657324100
ContactRoot: админим и кодим.
|
|
|
|
|
| Glueon |
{Пользователи} {Заглянувший} {Сообщений: 14}
|
|
Offline
|
Дата: Четверг, 22.09.2016, 23:06 | Сообщение # 5 [2428]
Что же включаем мы в эти понятия?
1) Проводим аудит вашего сайта, изучаем возможные узкие места и потенциальные варианты проникновения злоумышленника. Инъекции, шелл-код, паразитные запросы от ботов и грабберов, и многие другие виды нежелательной активности.
2) После обозначения проблемных мест мы либо сами исправляем их, либо даем рекомендации хостеру (в случае если клиент использует виртуальный хостинг с ограниченными вариантами настройки системных параметров).
3) Отдельно мы работаем с правами на директории (чтение-запись) и файлом .htaccess, идеальная настройка которых помогает устранить вероятность большинства автоматических атак злоумышленников.
4) Выполнение сопутствующих превентивных мер: правила доступа к системным файлам, установка дополнительных авторизаций, запрет опасных системных фукнций и другие.
5) Проверка сайта (сервера) на нахождение в черных списках поисковых систем или антивирусов (в результате чего вы можете терять часть посетителей), работы по удалению вашего ресурса из них.
6) Полный отчет о проделанной работе и составление рекомендаций по безопасности для системного администратора или владельца сервера.
Хочется сразу пояснить, что ввиду серьезности данных мероприятий мы выполняем их только в рабочее время.
Срок выполнения минимально будет составлять 24 часа с момента приема задачи.
Подробности о данной услуге вы всегда можете узнать по нашим контактам:
jabber: slava@contactroot.com
skype: contactroot
icq: 657324100
P.S. Господа, пмки всегда читаем и отвечаем, но пинг может быть очень долгий. Всегда эффективнее сразу писать в контакты.
ContactRoot: админим и кодим.
|
|
|
|
|
| SuperMax |
{Пользователи} {Заглянувший} {Сообщений: 10}
|
|
Offline
|
Дата: Понедельник, 26.12.2016, 20:59 | Сообщение # 6 [2428]
Сегодня мне бы хотелось привести небольшой чек-лист по безопасности сервера, на что требует обратить внимание каждому пользователю:
1) Установка ключей SSH и отключение входа по паролю. Смена порта для SSH на нестандартный.
2) Настройка firewall. Проанализировать, какое ПО на сервере действительно используется и требует доступ из вне. Ограничения доступа к локальным ресурсам, которым не требуется иметь доступ в сеть.
3) Установка fail2ban. Минимальная настройка на подбор паролей, паразитный трафик (парсинг ваших сайтов, rss спам) и примитивный ddos.
4) Виртуальная частная сеть. Настройка VPN для вашей инфраструктуры. Критические сервисы, которым всё таки нужно иметь доступ в большую сеть, лучше завернуть в VPN и настроить ограниченный доступ.
5) Введение в использование SSL/TLS. В случае невозможности использования VPN, можно ограничиться повсеместным внедрение данных типов шифрования.
6) Проверка списка запускаемых сервисов. После регулярных обновлений и установок дополнительного ПО следует проверять, какие сервисы в действительности у вас настроены на автозапуск. Очень часто туда попадают потенциально опасные, которые следует исключить из списка автозагрузки. Один из примеров это сервис рассылки почты sendmail на 25 порту.
7) Периодический аудит системных файлов. Всегда стоит обращать внимание на внесение изменений в некоторые важнейшие файлы и директории ОС, такие как
/etc/passwd
/etc/shadow
/etc/hosts
/etc/init/
8) Настройка отдельных приложений на изолированную работу в chroot. Проанализируйте, какие из ваших ПО на сервере можно завернуть в выделенное только им окружение с ограничением доступа к соседним объектам.
Наша команда ежедневно сталкивается с обращениями пользователей о взломах серверов, и мы крайне рекомендуем внимательнее относится к вашему серверу еще ДО момента появления проблем.
Наши контакты:
jabber: slava@contactroot.com
skype: contactroot
icq: 657324100
telegram: contactroot (https://telegram.me/contactroot)
P.S. Всех с наступающими праздниками! Будем в сети каждый день, но в облегченном режиме. Это означает, что все текущие проекты доводим до конца, но из новых вряд ли что-то будем брать крупное до конца праздников. По мелочи как обычно без проблем поможем.
ContactRoot: админим и кодим.
|
|
|
|
|
| Glueon |
{Пользователи} {Заглянувший} {Сообщений: 14}
|
|
Offline
|
Дата: Среда, 30.08.2017, 20:49 | Сообщение # 7 [2428]
Треть серверов в мире постоянно находится в Idle режиме.
По исследованию, проведенному Anthesis Group (http://anthesisgroup.com/wp-content/uploads/2015/06/Case-Study_DataSupports30PercentComatoseEstimate-FINAL_06032015.pdf) более трети мощностей у клиентов находятся в холостом режиме. Если пристально присмотреться к остальным 70 процентам, то можно сделать вывод о постоянной средней нагрузке равной 6%. Остальные 64% мощностей вероятно используются только в критические моменты пиковых нагрузок, которые случаются не чаще пары раз в год.
Наш опыт постоянного администрирования и сбора внутренней статистики показывает, что эти данные не сильно отличаются от положения дел в малом бизнесе на просторах рунета. Мы очень редко видим эффективное использование железа клиентами, обычно оно составляет не более 30% в пиковых значениях. Что особенно интересно, так это причины, побудившие арендовывать железо, заведомо мощнее, чем того требуют реальные нужды бизнеса. В абсолютном большинстве люди отвечают, что просто приобрели по скидке сервер, который в 2-3 раза мощнее, чем им требуется сегодня и в ближайшем будущем. Переплата за такое "умное решение" может составить сотни долларов в год. Браво, маркетологи хостеров и ДЦ!
Что мы можем предложить в свою очередь, чтобы спасти ситуацию с излишними тратами?
1) Анализ вашего сервера (серверов) и оптимизация настроек ОС, скриптов и возможностей ПО.
2) Объединение и перенос серверов.
3) Помощь в подборе адекватных предложений ДЦ для ваших нужд.
4) Консультирование и помощь в выборе и покупке собственного железа, с последующей поддержкой в ДЦ.
5) Настройка виртуализации, органичная настройка сервисов на виртуальных машинах.
6) Перенос специфических серверов в облако, сокращением отдельных статей бюджета (например, настройка CDN и отказ от выделенной полосы трафика).
Хотелось бы пояснить, что для корректной оценки и принятия плана действий нам требуется максимум информации от клиента, включая планы по дальнейшему развитию/сворачиванию сервисов, введение дополнительных цепочек, масштабирование. Раннее планирование - залог сокращения трат в ближайшем будущем и очевидный путь увеличания трат на расходники.
Первоначальная консультация у нас осуществляются бесплатно, однако если у вас уже имеются данные на оценку, просим вас посылать их на электронную почту. Сроки оценки могут варьироваться в пределах 2-5 дней.
Контакты
jabber/e-mail: slava@contactroot.com
skype: contactroot
icq: 657324100
telegram: contactroot (https://telegram.me/contactroot)
ContactRoot: админим и кодим.
|
|
|
|
|
