Cenários como os descritos acima são bem mais freqüentes do que possamos imaginar, e pode chegar ao nosso cotidiano a qualquer momento, como fruto do sucesso do provedor – mas, como assegurar o crescimento sem ter que investir em contratação de mão de obra especializada e ainda ter que arcar com as atualizações profissionais deste?

Uma empresa não enquadrada no simples nacional, paga num geral, quase 100% sobre o salário de um funcionário (encargos, reserva férias, etc), logo, contratar um profissional Administrador de Sistemas com especialização em Web Services pode ser tarefa difícil e de alto impacto nos cofres da empresa.

Encarar se profissionalizar é uma alternativa quase interessante, mas desprende o empreendedor de seu alvo principal: gerar novos negócios e manter sua base de clientes consolidada. Aprender do sistema operacional com ênfase em segurança da informação requer um tempo considerável, sem contar a demanda base de uma formação de nível superior ou técnica. Outra questão que não pode ser ignorada é a experiência, esclareço: é quase impossível experimentar todos os problemas de um ambiente web quando se administra apenas um servidor.

Mas, o que fazer? Quase tudo! Menos entregar seu servidor nas mãos de qualquer pessoa ou empresa na Internet.

Este texto nasceu após eu ter vivenciado por duas vezes, a seguinte situação: clientes (considero cliente qualquer pessoa ou empresa que por qualquer momento se cadastrou nos sistemas da empresa e possui ou não um serviço ativo – será sempre cliente!) com servidores dedicados sendo coagidos e constrangidos pelos “profissionais” que os assessoravam ao menor sinal de problemas, instabilidades e descontentamento. Ao tentarem mudar, eram sufocados com ações criminosas – sim, julgo um crime a ação de manipulação de pessoas a base de mentiras e ameaças.

O primeiro caso foi assim: O cliente identificou que, ocasionalmente, seu servidor era “invadido” (isso não é impossível de acontecer, mas analise os detalhes) e todos os sites (contas dentro do cPanel) eram excluídas, mas nenhum arquivo de configuração ou nenhuma outra informação era alterada, o “invasor” conseguia acesso sem técnicas de força bruta, excluía apenas as contas de hospedagem, excluía os arquivos de backup e deixava todo o resto intacto. Até ai, estranho, mas passível de acontecer não é mesmo!? O cliente então entrava em contato com seu “profissional” que gerenciava o dedicado dizendo que tudo havia sumido de seu servidor. O “profissional” então disse: eu cobro R$800 para restaurar os arquivos através de uma técnica de recuperação de dados excluídos.

Aqui faço uma pausa: Horas, sabemos que talvez seja possível recuperar arquivos apagados em um disco rígido sem ter que remover o mesmo para um processo forense – mas recuperar isso em questão de poucos minutos, com arquivos de poucas horas antes do suposto ataque, era no mínimo, estranho.

O cliente então, pouco tempo após este primeiro episódio, sofreu um novo “ataque” e tivera seus dados de sites (contas do cpanel) novamente excluídos pelo “invasor”. Houve um novo contato por parte do cliente com o tal “profissional” e uma nova taxa. Isso ocorreu (segundo relato do cliente) por duas ou três vezes (este cliente chegou, conforme me relatou, a enviar o seu notebook para pagar estes serviços extras prestados por este “profissional”).

Em 2008 esse cliente então resolveu procurar nossa empresa para verificar sobre a segurança – afinal, múltiplos ataques deixavam o cidadão em estado de alerta máximo e desgostoso com tudo o que fazia em torno de seu servidor.

Ele conversou comigo por telefone, e entendemos que algo não estava normal – pois o tal “profissional” tinha acesso forçado ao servidor deste cliente, mesmo quando ele alterava a senha root. Sempre que ele alterava a senha root pra tentar sair fora deste “profissional”, o servidor era instantaneamente bombardeado e então, em seguida, uma mensagem do “profissional” dizendo que: Se sair de mim, seu servidor fica vulnerável, blá blá. Sem contar que os usuários deste cliente eram ocasionalmente transferidos para o provedor de hospedagem deste “profissional”. Desleal até nisso.

Ao recebermos esse servidor, sem saber ainda de fato que algo de sinistro estava ocorrendo, bastávamos acessá-lo que algo era feito contra este. O que nos impressionava era a condição das duas partes em conviver com tal condição. O profissional tinha total controle sobre o dedicado do cliente, alterava a integridade de contas dentro do cpanel para mesmo após a mesma ser transportada para outro servidor, tivesse acesso ao servidor e apagasse as contas desse cliente. Imaginem o sumário deste primeiro caso: O cliente tinha um servidor e era obrigado a se manter na mira deste “profissional”, pois o mesmo tinha em sua mente que era inaceitável que o cliente tivesse opção em alterar seu fornecedor.

O segundo caso ocorreu agora, no último dia 19 de abril de 2010, vejam que curioso. O dono de um portal de conteúdo para o público estudantil entrou em contato conosco querendo que cooperássemos numa investigação: saber por qual motivo seu site fica tanto tempo fora do ar (indisponível) mesmo tendo ele um servidor dedicado. O cliente disse: O “técnico” que cuida de meu dedicado nunca esta on-line (ultimamente) e por isso estou pensando em alterar esse “técnico”.

Pessoal, este cliente contratou um servidor dedicado com este tal “técnico”, mas olhem que interessante – o cliente não tinha a senha root, nem mesmo acesso ao WHM como usuário normal, ele só tinha acesso ao login cpanel do domínio dele

Podemos aqui imaginar: pode ser que na venda do servidor, tivesse sido negociado que o cliente não teria acesso root – mas, vejam os detalhes logo abaixo.

Ao nos contratar, logicamente pedimos a senha root, e ele sem saber, pediu que migrássemos a conta de hospedagem dele via geração de backup no painel de controle cPanel. Sabem o que houve? O tal “técnico” percebendo isso removeu os arquivos que possibilitavam a geração do backup e ainda, alterava a senha cPanel da conta do cliente, impedindo que ele tivesse acesso.

Ou seja, agora o cliente (que afirmou estar em dia com seus pagamentos lá) não tinha nem senha root do seu próprio servidor e nem a senha que dava acesso ao FTP de seus arquivos.

Mas isso não parou por aí, após alguns dias passados o cliente desistiu e se entregou a ação criminosa (sim, crime contra a liberdade de ir e vir – ahaha) ao tal “técnico”. Ele entrava quase que todos os dias em nosso canal de atendimento, tentando ver conosco uma alternativa para seu problema – mas totalmente amedrontado, pois o tal “técnico” claramente lhe constrangia – o cliente tinha medo literalmente.

Eu me enfureci bastante com o cenário e me indignei por não poder dar sugestões claras ao cliente sobre como requerer seus direitos (denunciando este “técnico” para o departamento responsável da polícia civil) e resolvi investigar algo: saber se no servidor dedicado dele havia apenas o site dele hospedado. O tal “técnico” tinha seis domínios hospedados no servidor deste cliente (por isso não permitia que ele tivesse a senha root), ou seja, o servidor não era dedicado ao cliente coisa nenhuma.

Este cliente então nos contratou para intermediar a contratação de um novo dedicado para ele na SoftLayer – não conseguindo remover seu site, resolveu tentar a sorte pedindo ao “técnico” que transferisse para ele seu site par ao novo servidor (ação suicida). O tal “técnico” então diz ao cliente: este dedicado que compraste não agüentará seu site. Pessoal, o servidor deste cliente era “estressado” com sites de arquivos e jogos de propriedade deste tal “técnico”, que, aliás, tem um site pra venda de servidores dedicados e um site para venda de hospedagem de sites na Internet.

Não há mais condições de eu ser mais claro sobre as fatalidades que presenciei, parece conto, mas é real. E estes dois clientes não foram os únicos alvos, muitas pessoas desinformadas, colocam a vida de sua empresa nas mãos de pessoas sem escrúpulos, sem caráter e sem idoneidade, e é por isso que deixo um guia muito simples para que, caso você esteja pensando em contratar uma pessoa que gerencia servidores, consiga ter maiores chances de sucesso. Vamos lá:

1. Se não pode pagar por um profissional interno ou terceirizado, não contrate um servidor dedicado: Sim, continue com uma revenda até poder obter recursos para tal investida.
2. Ao buscar o profissional, tente optar por uma empresa devidamente registrada, mas se não for possível, tenha algumas certezas sobre a pessoa física que estará contratando, são elas:
   2.1 – Ela é localizável? Se só atende por MSN é já um sinal de problema.
   2.2 – O telefone de contato é fixo, VoIP ou móvel?
   2.3 – Consegue ter um documento com foto deste?
   2.4 – Há um comprovante de endereço desta pessoa?
   2.5 – Possui referências confiáveis desta pessoa?
   2.6 – Ela permite que você consulte sua idoneidade, junto aos órgãos de proteção ao crédito, caso necessário? (ter o CPF negativado no Serasa por não ter quitado a conta de telefone é uma coisa, mas ter vários cheques no CCF ou vários protestos no cartório ou ainda, várias ações em pequenas causas locais pode ser uma pista que a pessoa tem coisas mais importantes pra resolver do que cuidar de seu dedicado)

   Isso não assegura que terás sucesso, e parece ser radical demais – porém lembre-se: você é civil e criminalmente responsável pelas informações de seus clientes hospedadas em seu servidor. Se algo ocorrer, não adiantará tentar dizer que a culpa é do profissional que gerencia seu servidor, se ele não “existir” na sociedade. Sua obrigação não será menor por ter estes dados dele, mas poderá ao menos repassar uma ação contra este num momento qualquer.

3. A empresa escolhida possui cadastro ativo na base da receita federal?
4. Você consegue obter alguma referência da empresa e de seu principal sócio?
   Neste ponto uma nota: Clientes de gerenciamento não gostam de registrar depoimentos pelo seguinte motivo: Pra que falar bem de uma empresa ou profissional que me coloca em vantagem diante da concorrência? Ou seja, pra que dizer ou revelar a qualidade de um dos principais pilares de meu sucesso para meu concorrente?

5. O principal sócio transparece lucidez e bom senso em suas interações em sites de relacionamento, blogs e afins?
6. Existe algum registro negativo ou positivo desta empresa na Internet? São toleráveis?

1. Há uma conta corrente em nome da empresa em algum banco nacional?
2. Onde está hospedado o site da empresa? É hospedagem compartilhada ou dedicada? Imagine informações importantes de sua empresa (login e senha de seus servidores, dentre outras informações) nas mãos de estagiários em provedores de hospedagem ou de staffs que não tenham assinado um termo de confidencialidade junto ao provedor?
3. A empresa pode emitir uma Nota Fiscal para comprovar sua conformidade junto aos órgãos municipal e federal?
4. As ferramentas utilizadas para atendimento são legalizadas? Se uma empresa ou profissional liberal não consegue utilizar softwares originais (limitamos aqui a consultar os softwares web conhecidos, quando possível), o que o impedirá de pegar algo em seu servidor para uso indevido e não autorizado?

O que poucos sabem é que qualquer pessoa pode conseguir até mesmo o endereço dos sócios de qualquer empresa sem precisar mover uma ação contra a mesma. Se houver motivos suficientes, o interessado pode solicitar a cópia do contrato social no cartório (lógico que isso deve ser feito com muita responsabilidade, pois o pedido fica registrado e os donos da empresa podem requerer de você as intenções sobre esta ação alegando que há risco em sua segurança particular) e obter informações deste cunho.

Ainda no tema: você pode contratar uma empresa de uma pessoa só, isso nunca será um problema – problema mesmo será quando você sofrer a perda de seus direitos ou de acesso aos seus dados. A liberdade de troca de fornecedor deve estar assegurada em qualquer estágio da negociação em curso.

Finalizando: Infelizmente não criaram ainda um medidor de caráter, nem mesmo um método que nos permita ter na vida maiores acertos do que erros, porém podemos ser mais eficientes em nosso favor, promovendo esforços para tal.

Por questões jurídicas, tão somente, não posso em qualquer hipótese revelar o nome dos envolvidos. Há se pudéssemos! O pior é saber que estes clientes ainda continuam nas garras de seus “profissionais”.

Salve / Compartilhe

via Download liberado – Módulo integração HTML – WHMCS.

Salve / Compartilhe

suporte

Algumas pessoas após definirem o fornecedor de servidor dedicado (chamado de Internet Data Center) se sentem em dúvida na questão do gerenciamento. A verdade é que num serviço de hospedagem web compartilha ou mesmo plano de revenda web (chamado de revenda de hospedagem de sites) traz-se muito comodismo ao dono do host, além de desobrigá-lo de ser um administrador de sistemas (pessoa que gerencia o servidor).

Gerenciamento de Servidor ou Gerenciamento de Servidor Dedicado ou Administração de Servidor, significa um conjunto de ações especializadas que trarão ao ambiente (ao servidor de hospedagem) um padrão para que os web sites, e-mails, base de dados e todo o conjunto de serviços de internet envolvidos num host funcionem em harmonia.

Conhecer do sistema operacional Linux e das particularidades do painel de controle que gerencia o mesmo (no caso, cPanel com seu WHM “web host manager”) se tornam tão necessários quanto saber vender um plano de hospedagem.

Os serviços essenciais (aquele conjunto de serviços gerenciados que faz a máquina ser capaz de ofertar serviços de hospedagem web) são:

• servidor para o protocolo HTTP, como o Apache (servidor de páginas)
• serviço de email ou e-mail, com SMTP, POP3 e quem sabe IMAP
• serviço de DNS (named, bind) para resolução de nomes
• serviço de publicação por FTP (pureftpd ou proftpd)
• estatísticas gráficas, que processam os logs do servidor HTTP. Os mais comuns são o AWStats e o Webalizer

E claro, como já sabemos, precisamos de um programa que se encarregue do gerenciamento da área de hospedagem (o famoso painel de controle host), que na maioria dos casos acaba sendo o cPanel mesmo.

Instalar o cpanel no servidor linux é moleza, o detalhe de dificuldade fica na configuração do cpanel, na otimização do WHM bem como os ajustes pra manter o servidor cpanel seguro contra a maioria das dalhas existentes e passíveis de serem exploradas. Regras de firewall, segurança via regras mod_security, eficiência do TCP, etc.

Agora vem a pergunta: Contratar gerenciamento do servidor direto com o Data Center ou alocar esta missão pra uma empresa Brasileira especializada neste assunto de gerenciamento de servidor?

Se o Data Center (data center mesmo, não os profissionais que dazem intermediação de entrega do servidor) é daqueles que cobram $5 (cinco dólares) para gerenciar seu servidor, desconfie. Pois manter um trabalho contínuo de atualizações de segurança, monitoramento e correções não se paga com este valor. Vejo que lá fora, empresas sérias cobram em média $150 (cento e cinquenta dólares) pra assumir o gerenciamento do servidor quando o fornecimento é com eles.

Aqui no Brasil, a empresa SIERTI cobra valores iniciando em R$110 (cento e dez reais) para cuidar de seus servidores. Alem de ser tranquilo em questão da língua nativa (suporte em português do Brasil), SIERTI também tem serviços de consultoria pra ajudar a incrementar as atividades de seu host, gerendo informação que gera negócios.

Salve / Compartilhe

This post is password protected. To view it please enter your password below:

Password:

Salve / Compartilhe

This post is password protected. To view it please enter your password below:

Password:

Salve / Compartilhe

This post is password protected. To view it please enter your password below:

Password:

Salve / Compartilhe

This post is password protected. To view it please enter your password below:

Password:

Salve / Compartilhe

This post is password protected. To view it please enter your password below:

Password:

Salve / Compartilhe

This post is password protected. To view it please enter your password below:

Password:

Salve / Compartilhe

This post is password protected. To view it please enter your password below:

Password:

Salve / Compartilhe