ContactRoot: свяжитесь с нашим админом

[Glueon]

Всем привет!
Сплоченная команда сисадминов предлагает свои услуги. В публичном режиме мы начали работать в прошлом году, но несколько клиентов с этого форума уже были.
Небольшой список задач, которые мы выполняли:

1. Поиск уязвимости в проекте на PHP. Периодически в магазин без перевода денег вводились средства на счет, с последующим выводом в реальные деньги. Был проанализирован трафик для изучения сценария работы хакера, найдена и устранена уязвимость в платежном шлюзе. Проведен абузинг сервера злоумышленника.
2. Установка и настройка операционной системой с полностью шифрованным диском с возможностью разблокировки по безопасному шифрованному соединению, с упором на безопасность на базе Gentoo Hardened.
3. Объединение географически разбросанных серверов в сложные сети посредством OpenVPN с шифрованием трафика с целью обеспечения безопасного обмена информации между внутренними сервисами проекта, такими как redis, memcachedb, mysql и прочими.
4. Настройка KVM, Xen и OpenVZ виртуализации и маршрутизации совместно с VDSManager/Proxmox и биллинг системой WHM/AWBS с целью создания VPS хостинга с автоматически создаваемыми VPS-серверами. В том числе настройка возможности пробрасывания посредством VPN IP адресов с других серверов на сервера cодержащие VPS с целью предоставления IP из различных локаций, при этом храня VPS в одном месте. Выбор правильного IP производится автоматически при покупке VPS из необходимой локации.
5. Разработка PHP/Bash скриптов для автоматизации различных процессов. Как правило PHP используется для написания админ-панелей, bash для server-side скриптинга.
6. Организация автоматизированной работы выделенных серверов. Проанализированы протоколы работы ПО коммутатора и IPMI выделенных серверов. Разработан комплекс программ для управления питанием серверов, реинстала сервера с возможностью выбора O/S, автоматического подключения RescueCD, а также подсчета и визуализации расходуемого сервером трафика по данным с коммутатора. Интеграция функционала с биллинг системой WHM отдельным плагином.
7. Создание backup-платформы, с автоматическим криптованием удаленного архива, и использованием приватного\публичного ключа для разархивирования.
8. Разработка дополнений и модулей под WHM для админских целей. Например модули для ДЦ Leaseweb, Hetzner, а также Proxmox, дополнение для более гибкого управления настраиваемыми опциями.
9. Выбор стратегии администрирования сервера. Была проанализирована работа текущих администраторов компании, и дан комплекс рекомендаций по улучшению работы с сокращением издержек. Вместо ручных бекапов - bakula (с доступом по приватному ключу), мониторинг - nagios, внутренне общение - ejabberd, среда виртуализации - proxmox.
10. Помощь в выборе серверного оборудования. К нам обратился владелец bitcoin-кластера, была дана консультация по покупке оборудования и предоставлен список ДЦ где имелись подходящие условия по collocation.
11. Чистка веб-сервера от iframe и последствий взлома, поиск скрытых редиректов. После проведения работы был составлен список серверов злоумышленников, где выполнялись скипты и предоставлены заказчику данные abuse отделов с примерным текстом abuse.
12. Сокращение бюджета на ваши серверы. Партнерская программа обратилась к нам с вопросом о нерациональном использовании серверов. После анализа их текущих мощностей был составлен план переезда на более дешевое железо. Выгода составила 480 долларов ежемесячно.
13. Базовая защита от ddos. К нам обратился игровой сайт с проблемой дороговизны анти-ddos решения (проксирование) и низкого его качества. После анализа был сделан вывод о необходимости переезда на более качественное железо и ёмкий канал + небольшая настройка nginx. Бюджет на проект сократился на 70 долларов ежемесячно.

По фининансовым расчетам и некоторое подобие SLA/TOS:
Возможна оплата после работы в случае предварительного подтверждения вашей личности в пм.
Постоянным клиентам - никакой бюрократии. Работа в кредит, оплачивайте по мере совести. Доверие - наше все.
В контактах реагируем в течение часа по рабочему времени (GMT+3 ). Это то, что мы гарантируем. Обычно в онлайне продолжительное время и в будни, и в выходные.
Если вы хотите получить нашу консультацию бесплатно, создавайте тему в "Администрировании" и кидайте ссылку на нее в личку или другие контакты. Ответим не мы, так кто-нибудь другой.

Наши контакты:
jabber: [email protected] (billing, консультации)
skype: contactroot (presale-консультации)
icq: 657324100 (presale-консультации)

Стучите куда удобнее. Разберемся.

[denistest]

Была нестандартная проблема, ТС за низкую оплату сделал всё в лучшем виде. Советую.

[Glueon]

Зачастую хочется, чтобы запускаемое вами приложение было изолировано от вашего окружения и было заперто в песочнице, не имело прямого доступа к файлам.
Например, если на Linux машине вы запустите Firefox и откроете диалог Open File - вы без проблем сможете открыть /boot/grub/grub.cfg и много других файлов. Другой пример - Skype, которым пользоваться приходится, однако полное понимание о том какие файлы Skype запрашивает и просматривает, отсутствует. Это вызывает некоторую обеспокоенность у людей, которые дорожат своею приватностью. Запускать Skype в отдельной виртуальной машине VirtualBox в которой не будет ничего кроме Skype достаточно неудобно, поэтому мало кто будет пользоваться таким решением.
На помощь приходит инструмент firejail (http://l3net.wordpress.com/projects/firejail/) . Это достаточно простое приложение, позволяющее создавать на лету песочницы, изолируя приложения возможностями Linux ядра начиная с 3-ей версии (linux namespaces). Пользоваться firejail крайне удобно. Достаточно запустить firejail из командной строки передав в качестве аргумента приложение, который вы хотите поместить в sandbox. Например:

Код:

firejail firefox

Повторяя прошлый пример с FireFox-ом зайдите в "Открыть файл" в папку /boot - там будет пусто. Таким образом вы защищаете себя как от потенциальных "закладок" в приложениях, которые могут быть использованы в корыстных целях, так и от возможных еще неисправленных брешах.
Мы производим консультации по повышению безопасности ваших систем, и даем конкретные рекомендации. Осуществляем помощь в интеграции уже готовых решений в вашу инфраструктуру и ликвидацию "узких мест" внедренных ранее решений.

Наши контакты:
jabber: [email protected] (billing, консультации)
skype: contactroot (presale-консультации)
icq: 657324100 (presale-консультации)

[Glueon]

Продолжаем делать обзоры набирающих популярность технологий. В этот раз хотим рассказать о средстве виртуализации Docker. При помощи данного ПО можно создать изолированное виртуальное окружение для запуска любого ПО в нём, на уровне ОС задав любые параметры контейнера + легко управлять ими (создавать, изменять, удалять). На данный момент ведутся работы по интеграции поддержки Docker в фреймворк Hadoop, что в ближайшем будущем даст лучшую производительность, чем при изпользовании KVM виртуализации.
Иногда при работе с данной технологией требуется создать собственный образ с набором приложений. Для этого очень легко использовать Puppet. Подбронее об использовании двух технологий для решения одной задачи читайте в нашем блоге - http://contactroot.com/obrazyi-docke...oshhyu-puppet/
Минутка юмора. Часто руководство не даёт деньги системным администраторам на расширение инфраструктуры. Представляем вам отличное решение проблемы: создание презентации с визуализатором логов Logstalgia. После просмотра подобных роликов ваш шеф будет расположен к покупке новых серверов!

Подробнее по ссылке: http://contactroot.com/minutka-prekrasnogo

[Glueon]

Представляем небольшой обзор критических уязвимостей, появившихся за последнее время.
1) Компрометация системы в OpenSSH.
Уязвимость существует из-за того, что приложение позволяет предоставлять пользователям SFTP-доступ с ограниченными правами при использовании команды «ForceCommand internal-sftp». Удаленный пользователь может выполнить произвольный код на целевой системе.
Подробности по проблеме и методы ее устранения: http://seclists.org/fulldisclosure/2014/Oct/35
2) Отказ в обслуживании в Joomla.
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности. Уязвимость существует из-за неизвестной ошибки. Подробности не разглашаются.
Больше информации: http://developer.joomla.org/security...f-service.html
3) Раскрытие важных данных в SSL.
Уязвимость существует из-за ошибки в реализации протокола. Удаленный пользователь может путем осуществления MitM-атаки получить доступ к зашифрованным соединениям. Для устранения уязвимости необходимо полностью отключить использование SSL в пользу TLS! Дополнительная информация по ссылке: https://technet.microsoft.com/en-us/...y/3009008.aspx
4) Отказ в обслуживании в OpenSSL.
Уязвимость существует из-за того, что SSL/TLS/DTLS сервер неправильно осуществляет проверку session ticket. Удаленный пользователь может вызвать утечку памяти и спровоцировать отказ в обслуживании. Подробности: https://www.openssl.org/news/secadv_20141015.txt
5) Неавторизованное изменение данных в Drupal.
Уязвимость позволяет удаленному пользователю осуществить SQL-инъекцию. Для устранения установите последнюю версию с сайта производителя. Информация с официального сайта: https://www.drupal.org/SA-CORE-2014-005

Наш head-администратор продолжает публиковать материалы по современным технологиям, статья "Виртуальные ресурсы в Puppet" была размещена на Habrahabr. Если у вас есть какие либо вопросы по данной теме - наш специалист бесплатно ответит на них в комментариях к этой статье.

[Glueon]

Да, конечно. Вариант помощи в настройке удаленных систем так же возможен, оплачивается по стандартному прайсу за час работ специалиста. Либо если вопрос совсем небольшой, то мы можем ответить бесплатно (при наличии свободного времени у администратора).

[Glueon]

В последнее время к нам часто поступают вопросы касательно аудита безопасности. Хотим пояснить, что его мы производим только при наличии SSH root доступа к серверу. "Заочным" анализом уязвимостей веб-сайтов мы не занимаемся.
Один из наших администраторов теперь является волонтером популярного сайта ServerFault - http://serverfault.com/users/245332/glueon/



Наши контакты:
jabber: [email protected]
skype: contactroot
icq: 657324100
new aim: [email protected]
new yim: [email protected]

[Glueon]

Нами была реализована полуавтоматическая система рассылки почты (opt-in), которая использовалась в инфраструктуре клиента. В последствии от данного решения было решено отказаться, однако данный продукт получился достаточно хорошего качества.

Перечислим что он в себя включает:
1) Настройка серверов под рассылку (по ТоС почтовых систем, прописывание корректных записей).
2) Тестирование доходимости (inbox и spam папки популярных систем) сообщений.
3) Автоматическая проверка доменов и адресов на Black Lists (c автоматическим извещением в icq/jabber/email).
4) Скрипт рассылки. (SMTP, рассылка по расписанию)
5) Настройка сбора почты в единую почтовую программу на удаленном рабочем столе. (windows rdc)
6) Live-time контроллирование рассылки ваших писем. (по запросу)
7) Шаблонизатор текстов писем.

Система достаточно гибкая, и наши системные программисты могут добавить/убрать некоторые модули по желанию заказчика.

[Glueon]

Один из наших клиентов обратился с задачей в рамках которой необходимо ежемесячно считать 95% статистику по трафику клиентов с целью реализации burstable billing. Такой подход позволяет при анализе утилизации вашего канала различными клиентами исключить редкие пики в скорости и смотреть на более актуальную картину. Задача была реализована на языке Python. Процесс и итоги подробнее изложены в нашем блоге: http://contactroot.com/razrabotka-se...schet-trafika/

Мы занимаемся разработкой приложений под web на постоянной основе. Большой опыт в работе с роутерами/свичами и взаимодействия с хостерами, написания дополнений и API взаимодействия железа и биллинг-панелей.

[Glueon]

К нам обратился администратор партнерской программы с просьбой автоматизировать работу службы поддержки. Особенность состояла в том, что большая часть вопросов от клиентов поступала по Jabber/ICQ, и обрабатывалась тремя независимыми специалистами.
Была реализована Helpdesk-система, полностью работающая по протоколу XMPP (Jabber) с возможность подключения иных протоколов (ICQ, MSN, QQ, etc), и интеграция её в уже использующийся веб-сервис поддержки клиентов. Создавалось с повышенными требованиями к надёжности работы - тест API при каждом запуске. Модульная система работающая отдельным процессом, при необходимости возможно создание отдельного веб-интерфейса или расширение функционала.
После внедрения данной системы обработка запросов ускорилась на столько, что отпала необходимость в одном сотруднике службы поддержки. Ежемесячные издержки сократились на 500 долларов.

Помогли ему - поможем и вам

Наши контакты.
jabber: [email protected]
skype: contactroot
icq: 657324100
aim: [email protected]
yim: [email protected]

[Dumpty]

Поработал с людьми. Поставил задачу, предложили варианты решения. Выбрали один, сделали. Все прошло быстро и без проблем. Цена правда оказалась выше ожидаемой за выбранный вариант, но учитывая оперативность и профессионализм - может быть и вполне оправдана.
Буду дальше работать.