logo
14.09.2020 10:59
1
Doménový registrátor Subreg/Gransy je pod útokem, většina jeho služeb nefunguje (lupa.cz)

Doménový registrátor Subreg (společnost Gransy) se potýká s útokem na svou infrastrukturu. Momentálně jsou nedostupné weby subreg.cz i gransy.com a nefungují ani další služby – zákazníci například nemají přístup k doménám. Firma problém potvrdila na své facebookové stránce.
14.09.2020 11:00
2
Sice u nich nejsem, ale i tak jim držím palce a hlavně ať to není to co se naznačuje v článku.
14.09.2020 11:07
3
10:25 – Subreg potvrdil, že útočník zašifroval důležité soubory, které jsou potřeba k fungování jeho služeb.

Dnes rano mezi 7-8h doslo k vysoce sofistikovanemu utoku na nasi infrastrukturu.

Utocnik provedl zasifrovani souboru pro funkcnost dulezitych sluzeb a nektere sluzby diky tomu nejedou vubec, nebo nefunguji jak maji.

Rozsah skod zatim zjistujeme s plnym nasazenim vsech nasich pracovniku, ale nedokazeme nyni zjistit u vsech sluzeb, v jakem jsou stavu, nebot vetsina serveru jsou pro nas bez online pristupu a problem resime primo na miste v datacentrech.

Predbezne zatim vime, ze zalohy noveho hostingu + data zakazniku emailovych sluzeb nebyla zasifrovana a jsou tedy v poradku. Dalsi informace zjistujeme.

Oprava vyzaduje cistou reinstalaci a kompletni kontrolu vsech serveru, proto predpokladame bohuzel vypadek casove rozsahlejsiho charakteru.

Co se tyce uzivatelskych uctu a domenovych informaci na subregu. Subreg vyuziva pro uzivatele silnou hashovaci funkci, tedy hesla by nemela byt prolomitelna. Informace ktere nase databaze obsahuje neobsahuji ani zadne autorizacni informace k domenam. Logy v komunikaci s registry maji veskere hesla hashovane.

Nicmene zatim nemame zadne indicie, ze by databaze byla zneuzita ci odcizena.

Jakmile budeme mit dalsi informace budeme Vas informovat.

Jan Horak
CEO, Gransy
14.09.2020 11:07
4
Pár informací je tady:
https://www.facebook.com/GHosting.cz...35656746450000
https://www.facebook.com/station.cz/...59248280491977
Subreg hacked - Flame Hall - Geekforum.cz

To to trvalo, než se to tady objevilo.. :D
14.09.2020 11:29
5
pametam si ked som si dal nainstalovat VPSko na dopyt od tunajsieho sysadmina, kvoli zabezpeceniu, a po par dnoch mi ho hackli cez nejaky bug v PHP pri spracuvani POST requestov. Clovek aby sa bal pomali otvorit vobec dvere z baraku :D

--

mozno konkurencia videla ze gransy ma najrychelsi anycast a dozvedeli sa ze pripravuje super bombasticky novy produkt tak im chcu skazit meno pred koncom roka :D
14.09.2020 12:00
6
to není pěkné slyšet, správná infrastruktura nedovolí něco takového udělat, aspoň mají příležitost se nad tím více zamyslet. Je škoda, že i takhle velké společnosti to podceňují. Jen z jejich prohlášení mi jde mráz po zádech (online zálohy, žádné DR, únik hesel a databází, přístup útočníka k jejich serverům). Doufám, že i pro další to bude inspirace a budu rád, když vydají v budoucnu i nějakou podrobnější analýzu.
14.09.2020 12:10
7
Akorát jsem tweetnul: https://twitter.com/tele3/status/1305448639712591878
TELE3 tam má 4 servery u nich.
14.09.2020 12:26
8
Kdyby jen TELE3, část O2 nejede, nám taky nic nejede.
14.09.2020 13:09
9
o2 si to ale nejspíš způsobilo samo :)
14.09.2020 15:05
10
UPDATE 15:00

1, IMAP data (emaily) mame k dispozici, nicmene cely mailovy reseni se instaluje na cisto, na cemz nasi admini intenzivne pracuji

2, Data hostingu Station jsou nedotcene

3, Subreg System jako takovy je nedotceny, jen byla vynucena reinstalace serveru, coz vyzaduje mnoho navazujici konfigurace, kterou aktualne vyvojovy tym dela.

Zatim bohuzel vice informaci poskytnout nemuzeme, pracujeme na tom vsemi silami.

Dekujeme za pochopeni.
14.09.2020 15:51
11
Trochu nás to také zasáhlo (používáme API pro správu domén).
Tohle se teď může s tát komukoli. Útoky podobného typu neuvěřitelně "zlevňují" díky stále větší automatizaci.

Jestli je ale pravda tohle (viz diskuze pod článkem ohledně provozování PHP 5.4):
Doménový registrátor Subreg/Gransy je pod útokem, většina jeho služeb nefunguje…

Tak je to velké selhání patch managementu a celkově nastavení security policy a šlo se tomu přímo naproti.
14.09.2020 15:57
12
Řešit php verzi na mail serveru no.. Já včera narazil na tohle(když už jsme u těch mail serverů): https://twitter.com/Wladass/status/1305408676136726530
A to je ještě větší fail. Rozčilovali se, že se jim vrací email, který mi posílají a vzápětí všechny maily blokuje jejich mail server.

Česká scéna je malá no.. Tak je každej průser hned vidět.
EDIT: tady vám neběží SSL: http://www.profimailing.cz/
14.09.2020 16:19
13
hold je na case najmout sekuritaka :))
14.09.2020 16:40
14
keby to php bolo verejne servirovane cez webserver tak ano, je to problem, ale tu ide iba o php skript ktory posiela email. tam sa nema kto ako dostat a verzia vobec nehra rolu.
14.09.2020 17:14
15
zranitelná verze php přece rovnou neznamená, že slabiny nejsou ošetřeny jiným způsobem, stejně tak neznamená, že když je nasazena nejnovější verze, je vše ostatní v pořádku. Pro takovéhle fatální problémy stačí jediná neošetřená služba nebo únik přihlašovacích údajů jedinému administrátorovi. Je skvělé, že komunikace probíhá, svoje chyby neskrývají a nebalamutí, rovnou vše řekli na rovinu, klobouk dolu.

Správně zabezpečený systém není neproniknutelný, ale výrazně minimalizuje případný dosah (což tady nezafungovalo) a také výrazně zkracuje potřebnou dobu na obnovu (což tady opět neproběhlo). Než najmout securiťáka bych spíše doporučil najmout architekta, aby se vybudoval robustnější systém s offline zálohami, DR plány, záložní servery.

Pokud vše teď znovu instalují, vypadá to na čistý průmaz produkčních serverů (stejně to dělají vymahačské viry), plně obnovovat to mohou ještě několik dní.
14.09.2020 17:52
16
Wedos je na tyhle pripady mnohem lepe pripraveny.
14.09.2020 18:01
17
Původně odeslal anakonda
Wedos je na tyhle pripady mnohem lepe pripraveny.
Tak s tím počítej no :DDD
14.09.2020 18:14
18
Kupodivu je Wedos na tohle opravdu mnohem lépe připravený, mají drtivou většinu věcí plně automatizovaných, používají offline zálohy, mají strategie na DR, mají k dispozici záložní servery, které jsou offline. To, že dělají občas obrovské kokotiny nebo že přetěžují servery spoustami klientů neznamená, že něco jiného nemají daleko lépe zpracované.
14.09.2020 19:56
19
Největší prdel je, že to CZ NIC vůbec nezajímá. Prodloužení domén, nic.. Hlavně že si skladaji6svoje debilní routery a hrejou si s mojeID.
14.09.2020 20:06
20
Původně odeslal Wladass
Největší prdel je, že to CZ NIC vůbec nezajímá. Prodloužení domén, nic.. Hlavně že si skladaji6svoje debilní routery a hrejou si s mojeID.
A proč by je to mělo zajímat? Viděl jsi smlouvu s registrátorem? Tam žádná taková možnost co vím není. Jak tohle ovlivňují jejich ostatní projekty nebo jsi si chtěl jen kopnout?
14.09.2020 20:08
21
Připadám ti jako někdo, kdo potřebuje kopat? Mohli alespoň zajistit to, že se domény nesmažou, nebo něco. Tohle je o dobrých vztazích a ne o smlouvě.
Akce z jejich strany nula.
14.09.2020 20:11
22
v tom případě netuším jakou souvislost mají routery nebo mojeid.cz...

Orgán, který by mohl o nějaké změně rozhodnout ještě nezasedl, asi bych v tomhle případě nečekal rychlejší reakci.
14.09.2020 20:22
23
Ne, hele ne Tomáši. Nemám náladu se dohadovat s anonymem na Webtrhu, dnes ne. Díky.
Kdybych si potřeboval do někoho kopnout, tak se jich nezastávám kde to jde a mnoho dalšího.
Už nereaguj, díky.

---------- Příspěvek doplněn 14.09.2020 v 20:25 ----------

UPDATE 20:00

Stav je takovy, ze pokus o nahozeni ramsonware a zasifrovani vetsiny nasich konfiguraci a scriptu byl zrejme tak narocny, ze utocnik rano vyuzil lepsiho kalibru a data nam na serverech rovnou smazal.

Aktualni stav je:

- data pro hostingy (stare) jak g-hosting a station jsou v poradku a netknute
- aplikace subregu - v poradku a netknuta
- databaze subregu - zde resime zadrhel v obrovske tabulce objednavek, ktery nam brzdi spusteni
- data emailu - v poradku a netknuta

Bohuzel jak jsem zminil, ve vetsine pripadu to odnesli nase slozky /etc, /var, /usr ... zaroven je nutne kompromitovane servery reinstalovat.

Utok byl ale zrejme zcela cileny k desktrukci, protoze doslo k cilene likvidaci nasich zaloznich dat + konfiguraci serveru v primarni rade. Proto obnoveni je velice komplikovane i prestoze mame uzivatelska data v poradku.

Intenzivne na reseni pracujeme. Omlouvame se, ze nereagujeme na Vase zpravy tady, ale bohuzel to uz neni v nasich silach - navic ani odpoved na nejcastejsi otazku “kdy uz pojedete” nezname.

Mame nastavene priority od nejkritictejsich sluzeb a intenzivne to resime.

Mejte prosim s nami strpeni a dekujeme za pochopeni.
14.09.2020 20:33
24
A to jsem si chtel zrovna zaregistrovat domenu....
14.09.2020 20:53
25
ja som len zvedavy na to ako sa tam dostali. snad na to v subregu pridu a spisu nejake info potom. pri tom ako kazdu chvilu niekde pisu clanok o novej diere v ssl a cpu a tu a tam, by som sa dnes uz ani nedivil keby to hackli len silou vole :D
14.09.2020 22:31
26
Původně odeslal anakonda
Wedos je na tyhle pripady mnohem lepe pripraveny.
bezpecnost mnoha ceskych hostingu je nic moc. vetsinu lze jednoduse pokorit behem par hodin prace. Kazdopadne napr. WEDOS na hlaseny bezpecnostni problem reagoval pomerne rychle a danou chybu rychle opravil.. A dodal kudos..
15.09.2020 08:42
27
UPDATE 04:00

Neustale pracujeme ...

Aktualni stavy

Hosting & Emaily:

Uzivatelska data mame k dispozici, bohuzel ale snazime se dat dohromady DB ktera obsahuje potrebne udaje ke sputeni. Jedna se o DB k controlpanel.cz, kde byly data na serveru nekompromisne smazana, vcetne nasich externich zaloh. DB se tedy snazime obnovit za pomoci obnovy dat z disku, coz je bohuzel prilis zdlouhave.

DNS:

Server pro DNS byl obnoveny, zony jsou vygenerovane (nebo se jeste dogenerovavaji) a nyni reinstalujeme jednotlive DNS nody. U sluzby Anycast byla obnovena funkce DNS, u jednotlivych nodu musi dojit pouze k decentni uprave konfigurace, zde k problemum na strane serveru nedoslo (vyuzivaji jiny zpusob zabezpeceni prihlaseni)

Domeny:

U Subregu snad uz finishujeme s DB, a dokoncujeme nektere konfiguraci veci a brzy bychom jej meli byt schopni opet spustit.

H.
15.09.2020 08:50
28
Jesteze webtrh nebezi na subregu.
15.09.2020 09:00
29
Původně odeslal Wladass
UPDATE 04:00

Neustale pracujeme ...

Aktualni stavy


Hosting & Emaily:

Uzivatelska data mame k dispozici, bohuzel ale snazime se dat dohromady DB ktera obsahuje potrebne udaje ke sputeni. Jedna se o DB k controlpanel.cz, kde byly data na serveru nekompromisne smazana, vcetne nasich externich zaloh. DB se tedy snazime obnovit za pomoci obnovy dat z disku, coz je bohuzel prilis zdlouhave.

DNS:

Server pro DNS byl obnoveny, zony jsou vygenerovane (nebo se jeste dogenerovavaji) a nyni reinstalujeme jednotlive DNS nody. U sluzby Anycast byla obnovena funkce DNS, u jednotlivych nodu musi dojit pouze k decentni uprave konfigurace, zde k problemum na strane serveru nedoslo (vyuzivaji jiny zpusob zabezpeceni prihlaseni)

Domeny:

U Subregu snad uz finishujeme s DB, a dokoncujeme nektere konfiguraci veci a brzy bychom jej meli byt schopni opet spustit.

H.

Díky za nasazení a držíme palce 🤞
15.09.2020 09:34
30
UPDATE 09:00

Stale resime obnovu potrebne infrastruktury pro spusteni sluzeb.

Radi bychom Vam poskytli nejaky casovy ramec, ale je to bohuzel technika, tudiz nedokazeme zatim odhadnout. Pracujeme na tom intenzivne jiz pres 24h.

Dekujeme za pozitivni zpravy ktere jsou nam oporou v reseni tehle neprijemne situace.