Jump to content
Geekforum.cz

Subreg hacked


Wladass
 Share

Recommended Posts

Dnes ráno došlo k hacknutí Gransy s.r.o. - kterou můžete znát pod značkou Subreg.cz, Station.cz, G-Hosting.cz

Viz. jejich Twitter (který již mají zpět):

Screenshot_20200914_085442_com.twitter.android.jpg

Na sociálních sítích (FB) Stationu, G-hostingu a Subregu již o tom také informovaly. Služby jim ale stále nejdou.

 

Facebook G-Hosting.cz

Quote

Vážení zákazníci, řešíme právě sofistikovný rozsáhlý útok na naši infrastrukturu afektující velkou část poskytovaných služeb. Prosíme o trpělivost, na problému všichni intenzivně pracujeme. Není třeba nás kontaktovat, budeme průběžně informovat zde, po telefonu vám více informací v tuto chvíli neposkytneme.

 

Link to comment
Share on other sites

UPDATE 10:00

Dnes rano mezi 7-8h doslo k vysoce sofistikovanemu utoku na nasi infrastrukturu.

Utocnik provedl zasifrovani souboru pro funkcnost dulezitych sluzeb a nektere sluzby diky tomu nejedou vubec, nebo nefunguji jak maji.

Rozsah skod zatim zjistujeme s plnym nasazenim vsech nasich pracovniku, ale nedokazeme nyni zjistit u vsech sluzeb, v jakem jsou stavu, nebot vetsina serveru jsou pro nas bez online pristupu a problem resime primo na miste v datacentrech.

Predbezne zatim vime, ze zalohy noveho hostingu + data zakazniku emailovych sluzeb nebyla zasifrovana a jsou tedy v poradku. Dalsi informace zjistujeme.

Oprava vyzaduje cistou reinstalaci a kompletni kontrolu vsech serveru, proto predpokladame bohuzel vypadek casove rozsahlejsiho charakteru.

Co se tyce uzivatelskych uctu a domenovych informaci na subregu. Subreg vyuziva pro uzivatele silnou hashovaci funkci, tedy hesla by nemela byt prolomitelna. Informace ktere nase databaze obsahuje neobsahuji ani zadne autorizacni informace k domenam. Logy v komunikaci s registry maji veskere hesla hashovane.

Nicmene zatim nemame zadne indicie, ze by databaze byla zneuzita ci odcizena.

Jakmile budeme mit dalsi informace budeme Vas informovat.

Jan Horak
CEO, Gransy

https://www.facebook.com/Subreg.CZ/posts/3496897520332340

Link to comment
Share on other sites

UPDATE 15:00

1, IMAP data (emaily) mame k dispozici, nicmene cely mailovy reseni se instaluje na cisto, na cemz nasi admini intenzivne pracuji

2, Data hostingu Station jsou nedotcene

3, Subreg System jako takovy je nedotceny, jen byla vynucena reinstalace serveru, coz vyzaduje mnoho navazujici konfigurace, kterou aktualne vyvojovy tym dela.

Zatim bohuzel vice informaci poskytnout nemuzeme, pracujeme na tom vsemi silami.

Dekujeme za pochopeni.

Link to comment
Share on other sites

UPDATE 20:00

Stav je takovy, ze pokus o nahozeni ramsonware a zasifrovani vetsiny nasich konfiguraci a scriptu byl zrejme tak narocny, ze utocnik rano vyuzil lepsiho kalibru a data nam na serverech rovnou smazal. 

Aktualni stav je:

- data pro hostingy (stare) jak g-hosting a station jsou v poradku a netknute
- aplikace subregu - v poradku a netknuta
- databaze subregu - zde resime zadrhel v obrovske tabulce objednavek, ktery nam brzdi spusteni
- data emailu - v poradku a netknuta

Bohuzel jak jsem zminil, ve vetsine pripadu to odnesli nase slozky /etc, /var, /usr ... zaroven je nutne kompromitovane servery reinstalovat. 

Utok byl ale zrejme zcela cileny k desktrukci, protoze doslo k cilene likvidaci nasich zaloznich dat + konfiguraci serveru v primarni rade. Proto obnoveni je velice komplikovane i prestoze mame uzivatelska data v poradku. 

Intenzivne na reseni pracujeme. Omlouvame se, ze nereagujeme na Vase zpravy tady, ale bohuzel to uz neni v nasich silach - navic ani odpoved na nejcastejsi otazku “kdy uz pojedete” nezname.

Mame nastavene priority od nejkritictejsich sluzeb a intenzivne to resime.

Mejte prosim s nami strpeni a dekujeme za pochopeni.

Link to comment
Share on other sites

UPDATE 04:00

 

Neustale pracujeme ...

 

Aktualni stavy

 

Hosting & Emaily:

 

Uzivatelska data mame k dispozici, bohuzel ale snazime se dat dohromady DB ktera obsahuje potrebne udaje ke sputeni. Jedna se o DB k controlpanel.cz, kde byly data na serveru nekompromisne smazana, vcetne nasich externich zaloh. DB se tedy snazime obnovit za pomoci obnovy dat z disku, coz je bohuzel prilis zdlouhave.

 

DNS:

 

Server pro DNS byl obnoveny, zony jsou vygenerovane (nebo se jeste dogenerovavaji) a nyni reinstalujeme jednotlive DNS nody. U sluzby Anycast byla obnovena funkce DNS, u jednotlivych nodu musi dojit pouze k decentni uprave konfigurace, zde k problemum na strane serveru nedoslo (vyuzivaji jiny zpusob zabezpeceni prihlaseni) 

 

Domeny:

 

U Subregu snad uz finishujeme s DB, a dokoncujeme nektere konfiguraci veci a brzy bychom jej meli byt schopni opet spustit.

 

H.

Link to comment
Share on other sites

UPDATE 09:00

Stale resime obnovu potrebne infrastruktury pro spusteni sluzeb.

Radi bychom Vam poskytli nejaky casovy ramec, ale je to bohuzel technika, tudiz nedokazeme zatim odhadnout. Pracujeme na tom intenzivne jiz pres 24h.

Dekujeme za pozitivni zpravy ktere jsou nam oporou v reseni tehle neprijemne situace.

Link to comment
Share on other sites

Úterý 15.9.2020 – 11:10

Správce národní domény CZ.NIC vydal následující prohlášení:

V souvislosti s kybernetickým útokem na infrastrukturu doménového registrátora Gransy, rozhodlo sdružení CZ.NIC o prodloužení funkčnosti domén po expiraci, které jsou vedené právě u tohoto registrátora. Jedná se o dočasné řešení, které platí do doby, než se vyřeší problémy na straně registrátora Gransy. O dalším postupu budeme informovat na našem webu.

https://wladass.cz/subreg-hacknut-timeline/

 

Link to comment
Share on other sites

UPDATE 12:00 - Prvni dobra vlastovka 🙂

Sluzby Subreg.CZ jsou opet spusteny. Nektere funkce (aukce, sprava hostingu, ...) nemusi byt plne dostupne. Prosim o trpelivost.

Protoze doslo k neplanovane aktualizaci celeho systemu, nektere veci se mohou chovat trochu jinak, byt jsme meli aplikaci uz drive na upgrade pripravenou. V takovem pripade nas nevahejte kontaktovat zde ve zpravach nebot emailove a telefonni sluzby nam zatim jeste nefunguji.

Dekujeme za pochopeni a ze jste s nami.

H.

Link to comment
Share on other sites

UPDATE 13:00

Sluzby Subreg az na mensi drobnosti by meli byt funkcni.

Aktualne resime prioritne dve veci:

- DNS (zde se generuji jeste nektere zony - abecedne jsme u Ar*, Br*, Co*, Dv*, Mo*, Po*, Sm*, Tu* - ostatni jsou jiz hotove) + obnovu zbylych nameserveru.

- Emaily - kolegove aktualne dopripravuji napojeni DB na emailove reseni

Mezitim resime samozrejme i konfiguraci webserveru pro spusteni webhostingu, zde nam to ale komplikuje casova narocnost reinstalaci a obnov.

Link to comment
Share on other sites

Update 2:15 rano:

- stale pracujeme na zprovozneni imap/smtp proxy, kterou bohuzel musime konfigurovat od nuly. Na tom aktualne stoji a pada zprovozneni pristupu do emailu i jejich dorucovani. Konkretnejsi cas nelze rici, delame co to jde.
- pracujeme na obnoveni provozu dns serveru stationu, probiha rekonstrukce databaze, ktera je ve spatnem stavu.
- naopak jsou v poradku databazove servery a zakaznicka data na nich (databaze aplikaci)
- pracujeme na obnove databaze controlpanelu

Jakkoli chapeme potrebu vedet "kdy to bude", nechceme slibovat nerealne terminy a u nekterych (vetsiny) operaci je proste nelze odhadnout. Snazime se po vsech strankach delat maximum k obnoveni veskereho provozu.

Diky za podporu, trpelivost i pochopeni.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...