(Cкандальные откровения владельца компании-разработчика
лучшего интегрированного и-нет сервера для OS/2)
Вся эта история началась после того как я, воспользовавшись общеизвестной
дыркой в защите HTTP сервера PowerWeb, скачал новую (возможно, бета) версию
PowerWeb для WinNT, которую компания Compusource, владельцы и разработчики
PowerWeb Secure Server++, по неизвестным причинам отказывались выпустить
несмотря на то что она давно использовалась на их собственных серверах.
Я выложил архив с версией PowerWeb 4.08rel9 for WinNT на свой фтп и на
следующий день отправил сообщение об этом на список рассылки PowerWeb.
Через полчаса после появления моего сообщения в списке, мой сервер был
атакован хакером или неизвестным вирусом. Часть содержимого моего фтп
была мгновенно стерта, в том числе и злощастный архив с новой версией
PowerWeb. Я перезагрузил сервер и восстановил PowerWeb и все
поврежденные фтп директорий с резервной копии на ленте, но PowerWeb
запускаться категорически отказался. Помогло только восстановление
резервной копии системных INI-файлов, после чего PowerWeb заработал
снова и... был тут же атакован вновь.
Я отправил письмо с описанием происшедшего на тот же список рассылки
и обвинил в атаке на мой сайт компанию Compusource. После этого я
получил письмо от Джона Вивейроса, одного из основателей и директоров
Compusource, в котором он отрицал возможность такой атаки. Несколько
позже Джон прислал другое письмо на список рассылки, в котором описал
что по его мнению произошло с моим сайтом. Я привожу перевод этого
письма ниже. Читатель сам может решить как квалифицировать то что
описывает Джон. На мой взгляд, это гораздо более серьезно чем простое
хакерство, и все пользователи PowerWeb должны узнать эту
информацию.
Вот дословный перевод текста письма, опубликованного Джоном Вивейросом
(John Viveiros ), директором CompuSource Ltd.,
на общедоступном списке рассылки посвященном PowerWeb Secure Server
(мои пояснения даны в [...]):
----johnv quote start----
Вот как работает Риппл (Ripple), наша автоматическая система распространения
программ [имеется в виду -- PowerWeb'а]. При первой загрузке сервера, Риппл
активируется и начинает слушать порт 996, известный под названием Xtreelic,
чтобы проверять доступность обновленных версий PowerWeb, запрашивая их наличие
на сайте Compusource. Если вы храните на своем компьютере какие-либо архивы
с внутренними отладочными копиями дистрибутива PowerWeb (не важно для какой
платформы: OS/2, WinXX), Риппл старается найти и уничтожить все ваши копии
таких архивов, а также временно отключает PowerWeb, чтобы предотвратить
дальнейшее распространение возможного вируса в составе фальшивого или
недоброкачественного дистрибутива.
Как только этот процесс инициируется, он будет повторятся снова и снова через
случайные интервалы времени, так как Риппл является неотъемлемой частью
PowerWeb и весьма упорной его частью. Риппл не может повредить вашему систему
или уничтожить ваш сайт, и я не понимаю почему Иван думает что это могло
произойти у него, так как Риппл это исключительно защитный механизм
гарантирующий безопасность всех пользователей легальных копий PowerWeb'а.
Риппл входит в состав PowerWeb Secure Server с 1996 года и всегда был очень
стабильной программой.
[Абзац ниже - это ответ на мою жалобу что соединения Ripple на порту 996
не оставляют следов в лог-файлах сервера]
Что касается логов: все логи всегда сохраняются, это неотъемлемая часть работы
нашего сервера. Если только администратор сайта не отключил эту опцию сам,
конечно.
----johnv quote end----
Вообще-то, я не думаю что тут стоит что-то долго комментировать. Программа,
которая автоматически, без вашего разрешения, сканирует содержимое всех
дисков вашей машины, ничего вам об этом не сообщая, которая может в любой
момент стереть все ваши файлы которые что она посчитает неправильными,
опять же не спросив вашего разрешения и даже не известив вас о происшедшем,
да которая еще и повреждает сама себя не давая возможности вам пользоваться
ее услугами, даже если вы являетесь владельцем лицензии за которую заплатили
немалую сумму -- такая программа может быть квалифицирована только как
злостный и черезвычайно опасный вирус, распространение которого является
уголовным преступлением согласно законодательству большинства развитых стран,
включая и Россию. Следует добавить, что даже это крайне расплывчатое описание
работы Риппл было буквально "выдрано" из старшего служащего Compusource только
после моего публичного обвинения их компании в злостном хакерстве. В течение
трех лет (с 1996 года, когда Риппл был включен в PowerWeb) ни одного слова
об этом компоненте PowerWeb и способах его "работы" никогда не появлялось в
документации сервера или в сообщениях службы техподдержки Compusource. И не
удивительно, так как опиши они все что Джон перечислил в своем письме -- и
вряд ли нашелся бы хоть один желающий покупать их сервер.
Для всех кто еще использует PowerWeb я бы хотел перечислить все на что
способен Риппл, по моему собственному опыту, так как Джон в своем письме
сказал далеко не всё.
-
Соединения с сервером Compusource НЕ ФИКСИРУЮТСЯ в логах сервера, это
абсолютно точно. Они видны если вы загрузили в броузер страничку Server
Connections из пакета администрации сервера, но в логфайле вы их не увидите.
Я никогда бы не понял что произошло с моим сайтом если бы совершенно
случайно не нажал на кнопку Reload в этом самом окошке как раз в ту секунду
когда Риппл был активизирован и начал стирать файлы на моем диске.
-
Я не верю Джону когда он говорит что Риппл работает полностью автоматически.
Файл архива с бета-релизом PowerWeb пролежал на моем диске почти сутки и
Риппл его не трогал. Более того, за два последних года я никогда не видел
работы Риппл на своем сервер. Последний раз он срабатывал почти три года назад,
когда я действительно производил с его помощью автоматический апгрейд версии
PowerWeb. После этого система поддержки Риппл на сервере Compusource была
полностью выключена и никогда больше не активизировала Риппл. Вряд ли можно
считать случайным совпадением что Риппл вдруг активизировался через 30 минут
после того как я отправил сообщение о наличие архива с новой версией PowerWeb
на моем фтп сервере. Совершенно очевидно, что процесс включения Риппл может
быть запущен извне, и вполне вероятно что им можно также управлять извне,
указывая ему например, какие именно файлы надо стереть на вашем компьютере.
-
На моем сервере, Риппл стер ВСЕ содержимое директории в которой лежал
архив с новой бета-версией PowerWeb, включая несколько десятков файлов не
имевших никакого отношения к PowerWeb и Compusource. Бог знает что еще
он бы стер если бы я не нажал C-A-D...
-
Риппл способен залезть в системный INI-файл и прописать там ключ который
делает невозможным последующий запуск PowerWeb сервера. Я смог перезапустить
PowerWeb только после восстановления OS2SYS.INI из архива. Что еще может
сотворить с инишками этот шпионский вирус -- я не знаю, но понятно что в теории
ему ничего не стоит например считать весь список зарегестрированных на вашей
машине програм, передать этот список Compusource по интернету, а затем
уничтожить регистрационные записи любых непонравившихся ему программ, по
выбору.
Думаю, всего вышеперечисленного достаточно чтобы порекомендовать всем кто
пользуется PowerWeb'ом срочно подумать о переходе на другие веб-серверы.
Я сам сделаю это как можно быстрее.
Оставить свой отзыв (число отзывов:0)
следующий материал |
