Clicky

Jump to content
Portal do Host
  • Sign Up

Sign in to follow this  
noxhost

HyperVM - Falha de Segurança

Recommended Posts

Bom, eu já conheci dois amigos que tinham empresas que vendiam VPS usando o Hypervm e ambos tiveram problemas de segurança o que facilitou a invasão e deleção de todos os VPS que eles tinham.

Também uso esses sistema e queria ver aqui no PDH se existe alguma forma de melhorar a segurança desse painel para evitar esse tipo de problemas.

Share this post


Link to post
Share on other sites

Para utilização como cliente é tranquilo, agora para administrar somente não esqueça de uma coisa, "nunca faça atualização do VePortal de cara" espere pelo menos 1 mês de lançada a atualização para poder atualizar, pois eles não tem uma boa organização quanto a isso, ou seja, "tá feito? coloca em produção." esse é o pensamento deles, eles não gostam de testar, e se isso acontecer só vai ser bom pra vc aprender como mexer no VPS direto no shell, sem passar pelo painel ;)


ONZEHost - Desenvolvimento e Hospedagem (www.onzehost.com.br).
Hospedagem de sites, Revenda de Hospedagem, VPS OpenVZ, VPS XEN, Módulo MoIP, Certificados SSL

Share this post


Link to post
Share on other sites
Bom, eu já conheci dois amigos que tinham empresas que vendiam VPS usando o Hypervm e ambos tiveram problemas de segurança o que facilitou a invasão e deleção de todos os VPS que eles tinham.

Também uso esses sistema e queria ver aqui no PDH se existe alguma forma de melhorar a segurança desse painel para evitar esse tipo de problemas.

Olá noxhost,

Faço parte do projeto LxCenter que hoje mantém o HyperVM e o Kloxo. Sobre problemas de segurança, apenas 2 empresas até hoje alegaram que perderam dados (e clientes) por causa de falhas de segurança no HyperVM: VAServ (e filiais fsck, cheapvps, etc - a mesma empresa com os mesmos funcionarios mas nomes diferentes) e Santrex.

Na verdade, a empresa VAserv teve a senha do "root" comprometida sem ajuda do HyperVM. Leia http://www.inquisitr.com/25617/update-new-information-on-the-vaserv-hack-that-wiped-100k-sites/ (em inglês). É uma das poucas publicações que corrigiram a notícia mas o google pode te ajudar nisso com outras análises.

A Santrex foi um caso parecido mas depois foi "descoberto" que um ex funcionário ainda tinha acesso root aos nodes. Só não foi difundido pois estavam entrando com processo contra ele e queriam manter em segredo (conveniente, não?).

A verdade é que são amadores. Mais fácil culpar o software que expor suas próprias falhas. Se você usa login ssh com senha ao invés de chaves, não muda de X em X dias e ainda fornece todos os dados aos "funcionários" via e-mail - é uma bomba relógio.

Não há disputa que o HyperVM (e também o Kloxo) teve falhas graves de segurança em maio de 2009, mas é preciso reafirmar que foram corrigidas em menos de 24h após o release 0-day do grupo milw0rm. Não há qualquer caso comprovado que o HyperVM facilitou tais "hacks" até hoje.

O pessoal do LxCenter leva muito a sério isso. Antes mesmo de se tornar "open source", eu pedi à um colega consultor em segurança para realizar testes (pentest) de exploits remotos e o HyperVM/Kloxo passaram. Com isso liberamos o código há mais de 1 ano atrás.

Desde então não houve qualquer relato público ou privado de "remote exploits" verdadeiros. Eu mesmo auditei alguns servidores que os administradores juravam que o problema estava no hypervm mas na verdade era o bom e velho "senha root via e-mail/msn".

Basta ter uma boa politica de segurança. O mesmo é válido para qualquer outro gerenciador/painel.

No final das contas, basta uma busca avançada no Google (usando intitle e amigos) e você vai encontrar muitos servidores HyperVM disponiveis. Um dos principais patrocinadores da LxCenter é 100% HyperVM. Alguns o escondem atrás de um painél próprio usando a API.

Mas mudando um pouco de assunto, os painéis que os colegas postaram aqui são ótimas opções. No final o que interessa é maturidade e suporte.

No caso do HyperVM, é grátis e open source mas o suporte é da comunidade. Os outros tem custo mas você tem com quem brigar quando algo dá errado. Pelos valores citados aqui você não deve pensar em preço. É mais uma questão de ideologia.

A vantagem do HyperVM na minha opinião pessoal é a API completa e estável. Você pode literalmente criar um painel por cima dele em poucas horas com vantagens óbvias. Muitos fazem isso e ninguém imagina o que tem por trás.

É até curioso como alguns dos novos painéis "comerciais" são "compativeis" com o HyperVM - pra não dizer cópia - para aproveitar os plugins do AWBS/Hostbill/WHMCS/etc e importar/exportar backups. :)

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.



×
×
  • Create New...