Já tinhamos conhecimento que este ex-cliente teria este tipo de atitude pois tinha ameaçado faze-lo caso não retirássemos a suspensão da conta de alojamento.
Como sempre nos pautámos por uma rigida ética profissional e respondemos sempre que existe um relato deste género, passo a dissecar este post do nosso antigo cliente Bruno Magalhães.
Este cliente desde o ínicio que inclui um discurso rude e desrespeitoso pelo trabalho dos nossos profissionais, com expressões desagradáveis:
Tendo no dia ontem contactado o nosso suporte com a seguinte indicação:
"Voces mandaram-me um clone do servidor"
"não sei o que vocês fizeram, mas não gostei que o meu servidor de backups tenha recebido uma quantidade brutal de GB"
Nesse pedido de suporte é incluído um extracto parcial de um log de backup.
Dada a gravidade do que foi reportado contactámos o cliente que respondeu via chat a um dos técnicos, afirmando que recebeu as backups de todos os clientes através de um script desenvolvido por ele. Solicitámos de imediato informações sobre o script de forma a munirmo-nos do maior conjunto de informação possível para reportar aos "developers" do cpanel e para que os nossos técnicos podessem analisar todos os logs para saber o que poderia ter acontecido.
O cliente recusava.-se a fornecer informações sobre o script o que naturalmente obrigava a que suspendessemos a sua conta de alojamento de forma a evitar que tal situação de falha de segurança se voltasse a repetir. Nesta conversa transmitida por um colega de imediato efectuei uma chamada para o cliente de forma a resolvermos a questão. O cliente voltou a referir o facto de ter recebido 125GB de backups de contas de cliente mas que iria fornecer o script para que nós podessemos investigar.
De imeditato contactámos os "developers" do cpanel, reportando a questão e os nossos técnicos começaram a analisar os "logs" de forma a poder ter ideia o que poderia ter falhado.
Quinze minutos depois o cliente envia email em que afirma:
"Como o senhor João Neves até foi bastante cordial na conversa telefónica... Não vou obrigar-vos a perseguir "fantasmas",...
...a historia do backup não é totalmente verdadeira.
A verdade é que ainda continuo um pouco chateado com vocês por sentir que me enganaram por não ter sido avisado quando comprei um alojamento no vosso servidor que não teria acesso remoto ao MySQL e como o vosso colega ameaçou-me não vi motivos para facilitar-vos a vida."
Posteriormente o cliente entra em contacto telefónicamente reportando a situação, que não se traduz em nenhuma falha de segurança.
Os servidores estão configurados em SuPHP inibindo o open_base_tweak, originando que através de script de php se consiga visualizar ficheiros com permissão de leitura e directorias no servidor. Dispomos de sistemas que não permitem aos utilizadores editar ou abrir ficheiros php de outros clientes, e sistemas de verificação da tentativa de uploads de PHP Shell scripts.
No entanto na investigação que efectuámos verificámos que o cliente, além de ter utilizado um script em PHP para tentar visualizar directorias que não a sua no servidor, reportado questões inexistentes tinha também no seu alojamento centenas de ficheiros maliciosos, como:
BDS-Agent.678678gx.exe Gdokaa.exe michael .wmv de
www.hotmail5645.com svchost.exe Worm.Win32.VBNA.a.exe
BDS-Agent.mgx.exe Gkp.exe michael .wmv de
www.hotmail.com TB057388653-.exe Worm.Win32.VBNA.ailw(1).exe Banif@st.exe
Naturalmente proibidos de alojar nos servidores da Hosting BUG conforme consta nas regras de serviço.
Em resumo esta é a situação verificada, outra empresa provedora de hosting que pretenda alojar este cliente passa a ter conhecimento do que poderá ter de lidar.
Entre outras questões, como:
- Fornecer dados falsos de cliente
- Ameçar com reportar pela internet o caso como ameaça para o alojamento ser activado
entre outros.
Gostamos sempre de evitar este tipo de exposição, mas gostamos de ver as situações relatadas tal como são.
Cumprimentos,
João Neves