Взлом

 
+
-
edit
 

Balancer

администратор
★★★★★
Сервер был взломан в очередной раз.

Уже достало, честно говоря.

Если есть хорошие специалисты по сетевой безопасности - не откажусь от помощи.
 
+
-
edit
 

foogoo

опытный

Вот небольшой список того, что надо затыкать на UNIX
Прикреплённые файлы:
 
 
+
-
edit
 

Balancer

администратор
★★★★★
По сабжу, забыл сразу сказать - починен пока просмотр только для balancer.ru/forum

"Тематические" разделы починю на неделе.
 

au

   
★★☆
Крон, может разделить базу на две части? В первой - "все свои дома", во второй - "стой кто идёт". С соответствующей "открытостью" у каждой. А в качестве клубного пиджака может выступать всё что угодно начиная с "софтинки-пиджака" у клиента. Хоть на яве.
 
+
-
edit
 

Balancer

администратор
★★★★★
au> Крон, может разделить базу на две части?

Сервер - один. Физически не поделить. А логическое разделение тут не спасает...
 
+
-
edit
 

foogoo

опытный

Как часто сервер бекапится? Если достаточно часто, то можно в пожарном случае просто откатить сервер на несколько часов назад, т.е. просто восстанавливать из бекапа. Ну пропадут десяток другой сообщений - это не так страшно.
 
+
-
edit
 

Balancer

администратор
★★★★★
foogoo> Как часто сервер бекапится?

Сервер в целом - никогда. Некуда.

foogoo> Ну пропадут десяток другой сообщений - это не так страшно.

SQL-база иногда бэкапится (хотя это проблематично - размер только форумской базы превышает гигабайт), но в данном случае база не тронута, повреждён один из файлов форума, с которым возился достаточно много, а копии его не делал :)
 
+
-
edit
 

foogoo

опытный

Можно сделать инкрементальный бэкап, будет делаться очень быстро. И с определённой периодичностью полных бэкап, rsync-ом или rdist-ом. Делать с другого сервера по NFS. Периодически записывать бекап на ДВД.
 
+
-
edit
 

Balancer

администратор
★★★★★
foogoo> Можно сделать инкрементальный бэкап, будет делаться очень быстро.

А как делать инкрементальный бэкап в том же mysql? Полный дамп базы сейчас длится чуть ли не минут 10. Делать такие остановки сервера регулярно - просто нереально :) Всё колом встаёт...
 
+
-
edit
 

foogoo

опытный

PHP Freaks - Tutorials

Free tutorials on various PHP subjects covering basic to advanced principles.

// www.phpfreaks.com
 
 
+
-
edit
 

foogoo

опытный

Форум не выключать, а на время переводить в RO.
 
LT Bredonosec #18.09.2006 21:22
+
-
edit
 
Кста, идея бэкапа на двд мне тоже нравится. Причем, не инкрементальных, а полных. Реже. А инкрементальные (чаще) на винте. Таким образом бОльшая степень поломок будет означать только откат на бОльшее число дней... А восстановление займет меньше времени/сил, нежели при только инкрементальных..
Voeneuch, учи физику, манажор ))  
+
-
edit
 

Balancer

администратор
★★★★★
Bredonosec> Кста, идея бэкапа на двд мне тоже нравится.

Вот только выкачивание DVD у меня занимает 2..4 дня непрерывной закачки.
 
+
-
edit
 
RU кщееш #19.09.2006 02:05
+
-
edit
 
+
-
edit
 

foogoo

опытный

кщееш> а зачем его взламывают?
Взламывают все, и домашние тоже. Используют для отправки спама. Обычно те IP с которых идет абъюз закрывают, тогда вламывается новый чайник и процедура повторяется. В принципе еще DDoS нападения на сервета идет со взломанных машин. Но это реже кому надо.

На наш сервер повадились рекламу какого-то г...на на кастомер сапортскую форму на вебсайте посылать, а это письмо по всей рабочей группе на мейллист шлется автоматом. Посмотрели адреса - со всего мира шлют один и тот же спам, включая деревенские районы Украины. IP банить не стали, прикрутили фильтр. Теперь если в форму засабмитить УРЛ, оно идет в /dev/null.
 
+
-
edit
 

Balancer

администратор
★★★★★
кщееш> а зачем его взламывают?

Из тех причин, которые удавалось установить:
- два или три взлома с целью подсовывания юзерам троянов
- один влом для DDoS-атак чужих серверов
- одна попытка взлома для рассылки спама
- ещё пара попыток (одна успешная - около года назад) с целью "руления" самим форумом
 
+
-
edit
 

Kuznets

Клерк-старожил
★☆

Balancer> Сервер был взломан в очередной раз.
Balancer> Уже достало, честно говоря.

КОЗЛЫ КОЗЛЫ КОЗЛЫ!!! УРОДЫ!
встретить бы их, мозги взломать этим свиньям штоб даже не хрюкали больше...
 
+
-
edit
 

Balancer

администратор
★★★★★
Только что поймал одного. Протащил вирус.

Заодно покопался и нашёл два заложенных remote shell'а, один из которых аж с 16 мая висел.

ip удалость вычислить гарантированный - 81.169.147.23

На Авиабазе в логах попадается давно, с неделю точно (более старых логов нет). Но постингов и юзеров форума с этого IP нет.
 
+
-
edit
 

AGRESSOR

литератор
★★★★★
81.169.147.23
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

NetRange: 81.0.0.0 - 81.255.255.255
CIDR: 81.0.0.0/8
NetName: 81-RIPE
NetHandle: NET-81-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: NS-EXT.ISC.ORG
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate:
Updated: 2005-07-27



% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag

% Information related to '81.169.144.0 - 81.169.156.255'

inetnum: 81.169.144.0 - 81.169.156.255
netname: STRATO-RZG-KA
descr: Strato Rechenzentrum, Berlin
country: DE
admin-c: CM265-RIPE
tech-c: XX1-RIPE
tech-c: WB14-RIPE
status: ASSIGNED PA
remarks: in case of spam, attacks from these addresses
remarks: please inform abusestrato.de
mnt-by: STRATO-RZG-MNT
mnt-lower: STRATO-RZG-MNT
mnt-routes: STRATO-RZG-MNT
source: RIPE # Filtered

person: Christian Mueller
address: Cronon AG
address: Pascalstrasse 10
address: D-10587 Berlin
address: Germany
phone: +49 30 398020
fax-no: +49 30 39802222
abuse-mailbox: abusestrato.de
nic-hdl: CM265-RIPE
remarks: see also: XX1-RIPE CM5081-NSI CM1-ABC SOUL-RIPE
mnt-by: CRONON-MNT
source: RIPE # Filtered

person: Christian Xaver Mueller
address: Cronon AG
address: Pascalstrasse 10
address: D-10587 Berlin
address: Germany
phone: +49 30 398020
fax-no: +49 30 39 802-222
abuse-mailbox: abusestrato.de
nic-hdl: XX1-RIPE
remarks: see also: CM265-RIPE SOUL-RIPE
mnt-by: CRONON-MNT
source: RIPE # Filtered

person: Wilhelm Boeddinghaus
address: Strato Rechenzentrum GmbH
address: Pascalstrasse 10
address: D-10587 Berlin
address: Germany
phone: +49 30 39802-0
fax-no: +49 30 39802-222
nic-hdl: WB14-RIPE
remarks: see also INTERNIC: >WB131 mnt-by: CRONON-MNT
source: RIPE # Filtered

% Information related to '81.169.144.0/20AS6724'

route: 81.169.144.0/20
descr: Strato Rechenzentrum
origin: AS6724
mnt-by: STRATO-RZG-MNT
source: RIPE # Filtered
 
+
-
edit
 

Balancer

администратор
★★★★★
whois у меня тоже есть. Только что толку-то...
 
+
-
edit
 

AGRESSOR

литератор
★★★★★
remarks: in case of spam, attacks from these addresses
remarks: please inform abusestrato.de
 
+
-
edit
 

Balancer

администратор
★★★★★
Осталось только написать письмо таким английским, который не будет сразу же отправлен в мусор.
 
+
-
edit
 
+
-
edit
 

Mishka

модератор
★★★
Приду домой поищу свои образцы писем на abuse — кину на почту.
 

в начало страницы | новое
 
Поиск
Поддержка
Поддержи форум!
ЯндексЯндекс. ДеньгиХочу такую же кнопку
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru