ВидеоКонф(ВКС)  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Как он умудрился за 1 день задолжать Amazon 12000$

Разговоры на кухне

Модераторы: april22, Zavr2008

Как он умудрился за 1 день задолжать Amazon 12000$

Сообщение ded » 25 мар 2015, 16:43

Я руководитель небольшой IT-компании из Зеленограда. Занимаемся интеграцией программ 1С и телефонии. В компании работает чуть менее 20 человек и так получилось, что за всю IT инфраструктуру отвечаю я сам.

В принципе, я люблю этим заниматься и знакомиться с различными новыми технологиями. Одной из таких технологий стала виртуализация и, в частности, такой интересный сервис, как Amazon AWS.

Часто бывает необходимо быстро развернуть несколько виртуальных машин с белыми IP адресами в лабораторных целях, попользоваться ими пару дней, и прибить без сожаления. В терминологии Amazon этот сервис называется EC2, и позволяет за считанные минуты выполнять такие манипуляции. Это очень удобно и стоит копейки, т.к. оплата происходит по часовому тарифу.

Итак, в далеком 2011 году я активно изучал Asterisk и пользовался сервисом, в конце месяца с моей карты списывали по 20$-30$. Затем необходимость в сервисе пропала, я выключил все машины, сделал какие-то бекапы и стал ежемесячно получать счета в размере $3.66 и все как-то руки не доходили узнать, за что списывалась эта сумма.

Первая ласточка

Мы занялись новым проектом и появилась необходимость создать отказоустойчивую конфигурацию. Я, конечно, вспомнил о Amazon AWS. Зашел в админку, посмотрел, что нового появилось, походил по пунктам меню, разобрался, за что списывают 3.66, это был бекап виртуальной машины размером в 50 гигабайт, удалил его, и с чувством выполненного долга лег спать.

Утром был понедельник, много работы и в сотне писем от клиентов и коллег, неприметное письмо от Amazon.
А я еще и в английском не силен, ну думаю вот чудаки, это же я вчера заходил и на все кнопки там нажимал спустя пол года, а они уже панику бьют, ладно зайду вечером продолжу начатое…

Вечером

Перед сном я люблю сделать что-нибудь полезное, особенно с 12 до 2-х ночи. Открыл письмо, захожу в аккаунт и вижу… что у меня запущено 20 виртуальных машин, причем достаточно мощных, а значит, и дорогих.

Изображение

Сердце застучало, я их выделяю скопом и за пару секунд пытаюсь удалить, не получается, тогда просто останавливаю. Ну, думаю, взломали гады, попал на сотню другую долларов, а ведь у меня все карточки привязаны к аккаунту.

Захожу в биллинг, а там такая картинка:

Изображение

Оказывается, у меня запущено не 20 машин, а 140. На каждом континенте, в каждом амазоновском датацентре. Вот это я попал!

Характеристики арендованных машин:

Изображение

Ближайший час я все это пытался остановить, поменял пароль на вход, включил двухфакторную авторизацию и создал кейс в службу поддержки с вопросом: «Что мне с этим всем делать?»

Утром

Утром посмотрел цену на свой автомобиль, ну, примерно половину суммы есть. Естественно, никакого желания расставаться с такой огромной, по нынешним временам суммой, у меня не было. Кейс продолжал висеть в статусе не рассмотрен, а у меня появилась еще одна «веселая» история, о том как попасть на 12000$, причем я достаточно аккуратно отношусь к вопросам безопасности и вопрос: «Каким образом у меня увели этот пароль?» продолжал меня мучать.

Я попытался отвязать свои карточки от амазоновского биллинга, на что он мне ответил отказом и требованием зайти на сайт магазина Amazon.com и там манипулировать своим аккаунтом.

Сайт Amazon.com встретил меня парой вопросов о том, кто мой первый руководитель и как зовут друга детства, и разрешил отвязать мою кредитку. Половина дела сделано.

Тут раздается звонок на сотовом, с явно не российским кодом страны. Так как я не владею никакими языками кроме 1С, C++, C# и PHP, то и поднимать трубку не стал. Благо через 15 минут увидел первый ответ саппорта.

Завязалась небольшая беседа с помощью коллеги и Google переводчика. Саппорт понял ситуацию и начал давать мне задания. Сменить пароли, удалить все виртуальные машины во всех ЦОД, удалить все заявки на аукционах покупки вычислительных мощностей. А так как в аккаунте у меня вообще не было ничего моего, я вежливо попросил удалить мне все централизованно, на что мне также вежливо отказали.

Каждая виртуальная машина была защищена от удаления, приходилось заходить в настройки и снимать специальную галочку. Это развлечение заняло у меня еще полтора часа. Когда я удалял машины, заметил что время создания и запуска у них было у всех одинаковым, значит их создавали каким-то скриптом.

После удаления всех 140 машин я решил пробежаться по всем вкладкам и проверить, все ли ок. И что я вижу? Прямо на моих глазах появляются новые машины, объединяются в кластер и запускаются. И это после смены всех паролей и включения двухфакторной авторизации…

Выключаю машины, читаю внимательно задание саппорта еще раз, и вижу строчку про ротацию API ключей. Вот блин, нахожу их в недрах настроек системы авторизации, смотрю на дату — 2011 год, и без сожаления удаляю нафиг, даже не припомню, сам я их создал или получил в нагрузку при регистрации.

После этого, у меня еще около 40 минут уходит на удаление новых 60 машин.

Сообщаю саппорту о выполнении квеста, на что получаю ответ о том, что мой вопрос будет передан в финансовую группу, все-таки сумма не маленькая и не ждите быстрого ответа.

Вот фрагмент выписки из моего счета:

Изображение

Звонок из Люксембурга

Спустя некоторое время раздается опять звонок. Я опять не беру, без толку мычать что-то в трубку, не понимая вопросов. В почте письмо, по-русски, от некоторого чувака, который отвечает за европейский сегмент, с вопросом когда можно созвониться и поговорить. Я обрадовался, наконец можно с русскоговорящим человеком пообщаться и узнать перспективы. Прошу перезвонить мне.

Чувак представляется менеджером по продажам, интересуется, что у меня за проект, который потребовал столько мощности и не нужна ли мне скидка или какая-то помощь. Я объяснил ситуацию, рассказал, что меня взломали, дал номер кейса. Человек на том конце с пониманием отнесся к проблеме, посочувствовал и сказал обращаться по любым вопросам. Приятно, когда у компании человеческое лицо.

Продолжение следует...

Из полезного я уже включил двухфакторную авторизацию везде, где только смог. Помучал свой MacBook разными антивирусами, которые ничего не нашли.

Прошло около 5 дней, пока никаких новостей нет, сумма долга висит за мной, 4 апреля расчетный день…

upd. Есть подозрение, что взлом произошел после атаки на сайт Bitrix, в котором было подключено S3 хранилище и указан API ключ, потому что за день до взлома в модуле проактивной защиты было написано что отражено 314К попыток взлома, и у меня на сайте было заполнено 1800 форм обратной связи :(

Автор опуса - Николай Бекетов, компания МИКО - 1С интегратор, также и с Астериском.
Источник - http://geektimes.ru/post/247794/
ded
 
Сообщений: 15803
Зарегистрирован: 26 авг 2010, 19:00

Re: Как он умудрился за 1 день задолжать Amazon 12000$

Сообщение Pragmatic » 26 мар 2015, 08:13

Круто. Никогда с виртуализацией не связываюсь. Прое-л учетку и попадос.
Телефонные системы на базе Asterisk, системы интерактивного сбора показаний приборов учета, авто-информатор - http://atsip.ru
Pragmatic
 
Сообщений: 97
Зарегистрирован: 04 фев 2011, 14:25
Откуда: Оренбург-Орск

Re: Как он умудрился за 1 день задолжать Amazon 12000$

Сообщение virus_net » 26 мар 2015, 09:00

Зря, виртуализация реально удобна, особенно когда нужно потестить что-то в какой либо схеме.
Не понятно зачем конторе интегратору было пользовать Амазон. Не было средств на выделение одного или пары серверов в своей инфраструктуре ?
Мы у себя для этого выделили сервер и "балуемся" на нем сколь нам угодно и условно бесплатно (условно, ну да, плату за электричество то никто не отменял :)).

Так же, после прочтения, сразу стало понятно, что Амазон не отслеживает подобные ситуации, т.е. ему пофигу на попадос пользователя.
Хотя, мне кажется, что очевидно что одновременное создание и запуск 60-ти крутых виртуальных систем это не совсем нормальная ситуация.
мой SIP URI sip:virus_net@asterisk.ru
bitname.ru - Домены .bit (namecoin) .emc .coin .lib .bazar (emercoin)

ENUMER - звони бесплатно и напрямую.
virus_net
 
Сообщений: 2337
Зарегистрирован: 05 июн 2013, 08:12
Откуда: Москва

Re: Как он умудрился за 1 день задолжать Amazon 12000$

Сообщение zzuz » 26 мар 2015, 12:12

Мораль простая - Bitrix . Других слов не нужно , так как это уже само по себе ругательство.
Линия24 - Системы Массового Телефонного Обслуживания
Аватар пользователя
zzuz
 
Сообщений: 1658
Зарегистрирован: 21 сен 2010, 13:33

Re: Как он умудрился за 1 день задолжать Amazon 12000$

Сообщение SolarW » 31 мар 2015, 20:42

zzuz писал(а):Мораль простая - Bitrix . Других слов не нужно , так как это уже само по себе ругательство.

Немного занимаясь Битриксом попробую возразить - от ситуации когда логин/пароль root/12345 не спасает любая CMS, не только Битрикс.
Да, и в Битриксе есть возможность активировать авторизацию с одноразовыми паролями, что стоит делать для аккаунтов с админскими правами.
Ну правильно настроенную "Проактивную защиту" ничто не отменял.

Чуть позже.
Как пишет сам пострадавший:
Но вообще эта ситуация послужила мне уроком, всю неделю занимался сменой паролей, включением двухфакторной везде, исправлением предупреждений проактивной защиты Bitrix, на своих сайтах.

Т.е. не обращать внимание долгое время на вопли Битрикса "Меня ломают, спасите, помогите!!!" в течении долгого времени - это нормально? :-)
А потом сказать - надо же? Таки сломали!
Вспоминается анекдот про суровых сибирских лесорубов и японскую бензопилу :-)
Аватар пользователя
SolarW
 
Сообщений: 1331
Зарегистрирован: 01 сен 2010, 14:21
Откуда: Днепропетровск, Украина

Re: Как он умудрился за 1 день задолжать Amazon 12000$

Сообщение Samael28 » 06 апр 2015, 10:03

Где-то читал на Хабре, что ходит по ГитХабу и прочим Битбакетам робот и анализирует исходные коды на наличие этих самых ключей. Потому как часто заливают их в открытом виде. Ну а потом да, биткоины :)
Мой профайл на Upwork
Samael28
 
Сообщений: 1057
Зарегистрирован: 08 янв 2011, 19:32
Откуда: Киев

Re: Как он умудрился за 1 день задолжать Amazon 12000$

Сообщение SolarW » 06 апр 2015, 13:00

Samael28 писал(а):Где-то читал на Хабре

Боты сканируют GitHub в поисках ключей Amazon AWS
Samael28 писал(а):ходит по ГитХабу и прочим Битбакетам робот и анализирует исходные коды на наличие этих самых ключей

Судя по статье не ходит а бегает или даже носится :-)
Разработчик положился на гем Figaro для защиты приватных ключей при выгрузке кода. Но они всё равно попали на GitHub. При проверке Хоффман быстро заметил неладное и немедленно удалил любые следы важных данных. Всего до удаления прошло порядка 5 минут.
Аватар пользователя
SolarW
 
Сообщений: 1331
Зарегистрирован: 01 сен 2010, 14:21
Откуда: Днепропетровск, Украина

Re: Как он умудрился за 1 день задолжать Amazon 12000$

Сообщение Zavr2008 » 07 апр 2015, 01:59

Ну правильно настроенную "Проактивную защиту" ничто не отменял.

Ну да, у всех остальных нормальных без "проактивщины" fail2ban работает)
Битрикс - диагноз, эт точно.
Российские шлюзы E1 Alvis-GW. Модернизация УПАТС с E1, Установка FreePBX, Системы антифрод "в разрыв" потоков E1 PRI / SS#7 ISUP.
Аватар пользователя
Zavr2008
 
Сообщений: 2161
Зарегистрирован: 27 янв 2011, 01:35

Re: Как он умудрился за 1 день задолжать Amazon 12000$

Сообщение SolarW » 07 апр 2015, 19:14

Zavr2008 писал(а):Ну да, у всех остальных нормальных без "проактивщины" fail2ban работает)

Коллега, вы не правы. :-)
fail2ban работает и работает себе тихонько, его не видно и не слышно.
А тут - трах, бах, тревога, красивые отчеты сколько раз меня спасли, оповещения о том, что такой-то адрес заблокирован на 5 минут а если я клацну по ссылке в письме но и насовсем.
В общем - все то, за что с клиента берут денег.
Плюс еще куча всего.
http://www.1c-bitrix.ru/products/cms/fe ... curity.php - fail2ban перекрывает максимум 1-2 пункта из перечисленных тут фишек.
Zavr2008 писал(а):Битрикс - диагноз, эт точно.

Это вы его готовить не умеете :-)

Чуть позже.
Пример срабатывания проактивной защиты:
На сайте mysite.ua посетитель превысил установленный лимит активности.

Начиная с 07.04.2015 08:35:00 посетитель заблокирован на 300 сек.

Активность - 16 хитов за 10 сек. (лимит - 15)
Посетитель - 284
Сессия - 340
Поисковик - [0]
UserAgent - Mozilla/5.0 (compatible; MegaIndex.ru/2.0; +https://www.megaindex.ru/?tab=linkAnalyze)

> ===============================================================================================
Для добавления в стоп-лист воспользуйтесь нижеследующей ссылкой:
http://mysite.ua/bitrix/admin/stoplist_ ... Analyze%29
Для просмотра сессии посетителя воспользуйтесь нижеследующей ссылкой:
http://mysite.ua/bitrix/admin/session_l ... t_filter=Y
Для просмотра профайла посетителя воспользуйтесь нижеследующей ссылкой:
http://mysite.ua/bitrix/admin/guest_lis ... t_filter=Y
Для просмотра статистики хитов поисковика воспользуйтесь нижеследующей ссылкой:
http://mysite.ua
Аватар пользователя
SolarW
 
Сообщений: 1331
Зарегистрирован: 01 сен 2010, 14:21
Откуда: Днепропетровск, Украина


Вернуться в Лаборатория болтологии

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6

© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH