RuTube подвергся «сильнейшей за всю историю» сервиса кибератаке, он недоступен более суток Статьи редакции
The Village со ссылкой на источники писало, что «полностью удален код сайта», и теперь видеосервис «не подлежит восстановлению». Компания же утверждает, что код цел и сейчас восстанавливает сегменты файловой системы удаленных сред и баз видеохостинга.
- Утром 9 мая хакеры атаковали видеохостинг, из-за чего сервис был недоступен. Издание The Village, ссылаясь на свой источник, писало, что атака началась около пяти утра, и из-за кибератаки «полностью удален код сайта», сервис «не подлежит восстановлению».
- Обычно на такой случай предусмотрены бэкапы, но в конкретной ситуации проблема, видимо, в том, что в сервисе до сих пор не понимают, имеет ли по-прежнему хакер доступ к системе или уже нет, писало The Village.
- Видеохостинг на утро 10 мая недоступен. Сама компания утверждает, что восстановление потребует больше времени, чем изначально предполагали инженеры.
Информация относительно утери исходного кода сайта не соответствует действительности. Мы и правда столкнулись с самой сильной кибератакой за всю историю существования RUTUBE.
Важно понимать, что видеохостинг — это петабайты данных архивов и сотни серверов. Восстановление потребует больше времени, чем изначально предполагали инженеры. Однако мрачные прогнозы не имеют ничего общего с настоящим положением дел: исходный код доступен, библиотека цела. Сейчас идет процесс по восстановлению сегментов файловой системы удаленных сред и баз на части серверов.
В результате атаки было поражено более 75% баз и инфраструктуры основной версии и 90% резервных копий и кластеров для восстановления баз данных, сообщила пресс-служба видеохостинга. Основная сложность — в восстановлении инфраструктуры, представляющая собой сотни серверов, каждый из которых приходится восстанавливать в ручном режиме, постепенно устраняя последствия вмешательства.
- Когда восстановится доступ к сервису, компания не сообщает.
Я не понимаю как в текущее время не делать бекапов? Что значит код не подлежит восстановлению? Звучит как какой-то сюр🤷♂️
Только не говорите Яровой, что надо делать ещё и бэкапы.
Наоборот, НУЖНО сказать Яровой про бэкапы. Государство встанет колом и можно будет брать тёпленькими. Ну или закон отменят.
Надо ещё делать бэкапы бэкапов! И да надобно ей сказать...
Комментарий недоступен
Можно же отследить кудамухрдять бокалы и пойти и на них, если дыра глобальная, в недрсегаемости останутся только бокалы на плёнку и проволку
Например, админ инфры грохнул репозиторий гита и бэкапы. Конечно, многое останется в локальных репозиториях разработчиков, но не факт, что всё и в актуальном состоянии.
Смерджить сам код из девелоперских локальных реп - не вижу проблемы.
Мы так делали в одной конторе, была забавная история.
1. Начальник был немного параноик в хорошем смысле, поэтому понятно что на гитовом сервере целиком партиция была зашифрована.
2. Так же понятно что он любил использовать 20+ символьные пароли, причём понятно что не один и тот же пароль везде, а разные.
3. Так же понятно, что сервер был подключен к безперебойнику и работал несколько лет без перерыва и выключений.
И потом, когда через нескольких лет электрики в бизнес-центре вырубили электричество на выходные (и они даже об этом предупредили), то понятно что часа через 4 безперебойник сдох и выключился.
И когда мы пришли в понедельник, то...
Дальше наверное понятно ;-)
Сервер выключен, его включили, а пароль... спустя несколько лет он уже не смог вспомнить.
.
Так что у них наверное проблема не в самом коде как таковом, а проблема в том, что если там запутанная замороченная инфраструктура, и всё серьёзно поудаляли, то все отдельные сервисы (сервис авторизации, сервис аплоада видео, сервис комментов и т.д.) надо заново поднимать, потом накатывать данные из бекапов и т.д., потом стопроцентно выяснится что что-то глючит и типа сервис комментов почему-то не вытягивает аватарки откуда должен и т.д.
В общем большая работа поднять это всё и связать между собой.
сервисы сервисами, но им же дыру ещё обнаружить нужно. и закрыть.
иначе поднимать смысла то особого и нет, в следующий раз могут что-то ещё более весёлое сделать.
Зато микросервисы
Я тоже знаю реальную историю, произошедшую на моих глазах:
Сайт на сервере, сервер у одного из сотрудников (!)дома. И сотрудник вполне молодой вдруг внезапно умирает. Вроде бы причина в тромбе.
И все. Конец. Нет сайта. Причем уже лет 6.
а разве то что начальник доебистый до безопасности и везде забабахал пароли 20+ это не головная боль спецов, которые проебали эти пароли?
или начальник такой безопасный что он эти пароли никому даже не говорил и держал у себя в голове?
А зачем их говорить кому-то?
Он этот сервер поднимал и настраивал изначально.
Зачем ему ко мне или еще к кому-то подходить и говорить - смотри Жека, пароль на партицию такой-то, смотри не забудь!
Я бы посмотрел с удивлением.
Он поднимал, он шифровал, пусть он и запишет себе на бумажку если хочет, мне это не надо.
это история из какой-то компании, или контора рога и копыта?
Ну ясно что не корпорация, просто стартап.
да даже не корпорация, ну понял, там не было штатных спецов/команды
оч странно что "начальник" собственноручно хуячит сервак и сам придумывает пароли прост
начальник параноик это классика, начальник самоделкин это уже не очень
Не согласен, и более того на его месте сделал бы так же ( в смысле поднял бы сам сервер, но пароль бы всё-таки записал).
Чего бы начальнику не поднять самому сервер, если он в этом рубит, зачем обязательно поручение давать кому-то?
например что бы когда все пошло по пизде начальник не рвал на жопе волосы сам, и не допустил такой тупой проеб как потеря паролей
ну, рубить в чем-то это хорошо, но не проебыватсья в мелких мелочах это и есть профессионализм спецов, ну вот он проебался, и получил анальные проблемы
Да проблем не было, взяли гитовую базу с одного девелоперского компа и слили с другими.
А так со всяким бывает.
Я в своё время (там же кстати ;-) ) грохнул базу со всеми платежами и кристаллами в мобильной игре.
Это как бы было плохо.
Но я настроил еже-ночные бекапы в 3.00, и это как бы было хорошо.
Пришлось откатить состояние игрового мира для нескольких тысяч игроков на 20 часов назад, чему они были не очень рады, но в принципе не критично.
А пришедшие платежи в этот день добавлять вручную в базу и соответственно начислять кристаллы.
Вот если бы бекапов не было или они не поднялись, было бы совсем не прикольно, тоже может бы пришлось выдумывать для игроков историю про невероятную атаку хакеров.
бекапы всему голова
Почему вы решили, что код не подлежит восстановлению? Написано же - что подлежит.
На заборе тоже было написано, а бабушка подошла, потрогала - сучок оказался)
С неделю назад тут же была новость от каких-то мамкиных хакеров о том что они наглухо Qiwi уничтожили. Оказалось - фуфло прогнали.
Всё же больше шансов на то что бэкапы в норме кмк.
Ну тут сама площадка заявляет, что хакеры не мамкины, а прям дорогостоящая атака была, которых свет доселе не видел. Да и нормальные бэкапы поднимают быстро. Просто делают откат к вчерашней версии и вуаля. А тут и сами не спят и аутсорсеров позвали и сороки озвучить не могут. Ох, не мамкины хакеры это были.
Тут в треде уже писали здраво что прежде чем выводить сервис оналайн сначала надо понять как взломали, потом устранить дыру и уж потом восстанавливать. Иначе ж это артель "Напрасный труд".
Может оказаться не быстро же - сколько там Вайлдберис колбасило не так давно.
А если не поймут? Все? Кина не будет?)
Если во всем российском ИТ не найдется спецов чтобы в этом разобраться (бюджет на внешнюю помощь найдут без проблем в ГП), то тут речь уже не о том что Рутуб надо закапывать, а о том что все байки про "умных российских ИТшников" - брехня мирового масштаба :) В такое я поверить не могу.
Тут ещё вопрос - кто ЗАХОЧЕТ в этом копаться.
Во-первых карма у сервиса так себе, во-вторых - IT-шники посбегали, в третьих - сервису уже дофига лет, и legacy там должно быть кошмарное.
А то может получиться как с датацентром Яндекса в Финляндии - и деньги есть, а к электричеству не подключают.
Вопрос про захочет - интересный, да. Кмк, многое будет зависеть от суммы. Ну и в РФ есть же лояльные к власти спецы в области безопасности: кто-то аудировал и защищал гос и около гос сайты.
Будем посмотреть в общем подымется или нет.
Причём тут забор? Если нет данных, какой урон, зачем фантазируете? Или вы знаете всю подноготную?
Ну так причем тут забор? Все нормально с восстановлением - https://vc.ru/services/419196-rutube-zayavil-o-polnom-vosstanovlenii-povrezhdennoy-chasti-infrastruktury-no-dostupa-k-servisu-po-prezhnemu-net
Про "Москву" тоже писали что "на плаву".
А если серьёзно - сервис лежит вторые сутки.
Так не врали, видео вам не показали, что Москва именно тонуть начала когда её тянули уже, но она резко пошла на дно, нам вот показали, сами не ожидали что так быстро уйдет
Ну это же зе виллаж написал, что вы хотите? у них аудитория из эмиграции ради вкусвилловского творожка возвращаются.
А почему бы и нет?
Ну скорее всего ученый изнасиловал журналиста.
Вообще если получили доступ к серверам в интранете, могли выпилить и сам сервис, и условный репозиторий с кодом на локальном сервере. Но скорее всего у кого то из разрабов локально осталось.
Могли еще шифровальщиком пройти, тогда вообще шляпа.
WB вон спустя месяц восстановили и то не все, потому что репликации надо сразу делать, а не бэки раз в неделю, айти компания йопт.
Сколько ни делал проектов, где даже был отдельный сервак чисто под бекапы, надёжнее NAS дома ничего нет, где всё сложено и недоступно извне.
Бэкапов должно быть 3:
1. локальный рядом (на случай если что-то случайно стёрли) - доступ быстрый, но на том же железе.
2. сетевой/локальный рядом (на случай сдохшего железа/сервера) - для раскатывания после смерти/кражи сервера/etc.
3. сетевой (или даже вообще offline) off-site - на случай пожара, землетрясения, попадания метеорита в датацентр.
Так-то оно так, иногда спасает что-то простое и понятное. Реальный случай в моём контентном проекте: я, как заказчик, сильно упарывался насчёт наличия бекапов и требовал чтобы было. Но не забывал рутом сливать архив себе на домкомп. Сгорает материнка на сервере и за собой чудесным образом убивает рейд из 2 винтов. Минус база. Но у нас же есть отдельный, сука, специальный сервер чисто под бекапы (который я оплачиваю из семейного бюджета), да вот незадача как выяснилось бекапился туда самый первый бекап годичной давности, который сам по себе перепаковывался как свежий бекап и он же улетал как снимок системы на ещё один сервак. А выглядело красиво: отдельный сервер, папочка и общие архивы по месяцам и по дням. Ну как так можно было обделаться-то?
Есть ли у разрабов гит или локаль? Ну есть да, только база там древнейшая, телепорт в год назад, им же контент для работы не нужен, только файлы. Сукаааа. В итоге единственный живой и относительно свежий дамп базы лежал у меня в папке Загрузки. Если бы не этот дамп, то ggwp 10 летнему сайту, такой объём данных не восстанавливаем.
Ответственные долбоебы уволены, новая команда ситуацию повторила в том или ином виде несколько раз. Самые большие краши спасал бекап из дома.
Как знакомо :D
Пока самые надёжные бокалы это магнитная плёнка и запись на проволку, но специфика информации там интересная
Комментарий недоступен
Комментарий недоступен
От сервиса - возможно, а инструкции для deploy-я? а где гарантии что этот код "чистый"? И т.д.
Комментарий недоступен
Если git - то нет. Локальный разработческий репозиторий может отличаться, локальный репозиторий можно править. Если централизованный сервер помер (или получил push -f и ветки не были защищены) - то гарантий нет ни у кого.
Комментарий недоступен
В курсе.
Распределённая система контроля версий. В том что "распределённая" - и плюс и минус. У разработчика в общем случае полная копия всего репозитория.
Но используют его обычно всё же как централизованный (есть центральный сервер, там точно рабочая копия и тд, что там у разработчиков на машинах - их проблемы).
Но - локальную копию репозитория можно править, и там может быть по сути что угодно и в истории коммитов и в их содержимом.
git commit --amend, reposurgeon и возможности cherry-pick-ов никто не отменял.
Так вот - при потере центрального репозитория - нужно будет как минимум выяснить - что у разработчиков в версиях и собрать из них валидную копию.
PS. Я понимаю, что в общем случае разработчики аккуратно обращаются с git-ом, но я лично видел неоднократные случаи того, как в локальном гите творили дичь такого уровня, что проще было вычистить всё и заново наложить последние изменения.
PPS. В зависимости от workflow - свежей ветки master у разработчиков могло и не быть. "CI собирает и делает deploy, а нам эта ветка не нужна".
Хм, да ладно, я всегда так делал, когда не получалось сделать push из-за каких-то конфликтов и мне было лень разбираться и вручную слияние делать.
git push --force и готово, конфликтов больше нет.
Ну у меня по крайней мере.
Шутка ;-)
А у нас в своё время так ветку master снесли :D
Вот после такого в checklist-е появился пункт "включи защиту веток"
ну вон Валдберриз недавно тоже с такой проблемой столкнулся, но как я понял - бэкапы они вроде нашли
Такое ощущение, что не все. В ЛК периодически продолжают вылезать ошибки.
не пользуюсь, не могу сказать
Комментарий недоступен
Я в it уже 17 лет, и очень много лет делаю даже бэкапы бэкапов и минимум в 3 независимых друг от друга хранилищах их держу. И вообще исходу из принципа: есть возможность сделать бэкап - сделай.
И это не только код, сайты или домашняя инфа, у меня одного её довольно много. Понимаю, что у любого многопользовательского сервиса её больше на несколько порядков, но те же видосы можно просто дублировать, а критичную инфу и тем более основополагающую - множить и связывать в единую систему.
Ещё как вариант можно развивать PeerTube. Нужно уже людям начать привыкать брать ответственность на себя. Столько сил люди тратят на всякую фигню, могли бы уже PeerTube до ума за это время довести, но так скучно, не будет повода для срача, государство то точно в него деньги не вложит, потому что изначально цель ни что-то для людей сделать, а создать платформу для пропоганды оно и понятно.
Бред, не обрашайте внимание.
Код затоталили)
Пишут хомячки для хомячков