17.01.2009 08:30
страницы тормозят или вообще не открываются из-за хакерской спам-атаки на сервер. Сорри, принимаются меры, но против такого типа атак в мире нет приема...
Хакерская атака на сервер
28.07.2011 10:33
Тем, кому приходят вдруг странные письма. Какой-то урод из Владивостока вот уже третий месяц подбирает ключики и портит местами базы. Его этиологию проследил: он долго упирался в попытках достичь высоких результатов в тесте и наконец устроив подгляделку сделал 100% в 20 типа попытках. Ну и до фига еще нагадил там. Потом начал прогонять сканером Netsparker все мои сайты и испытывать все дырки (которые есть всегда у всех. Ну, я написал в отдел К москвы и владивостока, но пока не было оттуда реакции. Его IP 77.34.191.226 и 77.35.128.39. Наиболее заманчивые дыры, конечно, законопатил.
Сильно он не досаждает (иначе взял бы за него серьезнее). Видимо пацан от 18 до 24, конечно же гаденыш из тех, что царапают когда думают, что их не достанешь.
28.07.2011 20:39
автор: nan сообщение 24063
А вдруг он(типа хакер) работает через цепочки проксисерверов? Тогда нельзя точно сказать откуда он. Мне вот из Китая и Новой Зеландии бывало ломились ))).
Его IP 77.34.191.226 и 77.35.128.39.
А вдруг он(типа хакер) работает через цепочки проксисерверов? Тогда нельзя точно сказать откуда он. Мне вот из Китая и Новой Зеландии бывало ломились ))).
28.07.2011 20:42
конечно, только этот козлик не раз четко засветился.
18.11.2012 17:01
Тут какая-то фигня объявилась на сервере, непонятно какой скрипт подвешивает, переполняя память, пока не удалось определить, так что возможны опять периоды нерабочего состояния...
18.11.2012 19:06
Полазил тут у тебя, nan, чуть чуть и кое что нарыл. Тебе на заметку:
Обнаружились sql уязвимости.
В дереве каталогов сайта выходы на админки вроде все запрещены... Это хорошо.
Обнаружились sql уязвимости.
В дереве каталогов сайта выходы на админки вроде все запрещены... Это хорошо.
18.11.2012 19:19
Ну, ты свой человек, давай попробуй инъекции, если что-то получится мне скажешь, ладно?
пс Пароли не в в MD5, а круче :)
18.11.2012 19:28
18.11.2012 21:06
Да... Так, ну... вручную пролезть не удалось. Стандартные уловки не помогли. Так что можно спать спокойно..., пока. ))) Есть еще всякие злые сканеры.
19.11.2012 09:39
| автор: nan сообщение 33865: |
| Тут какая-то фигня объявилась на сервере, непонятно какой скрипт подвешивает, переполняя память, пока не удалось определить, так что возможны опять периоды нерабочего состояния... |
| автор: traveler сообщение № 33876: |
| Так что можно спать спокойно..., пока. ))) |
[картинка скрыта] / выдергивая седой Волос /
20.11.2012 01:00
| автор: nan сообщение № 33865: |
| Тут какая-то фигня объявилась на сервере, непонятно какой скрипт подвешивает, переполняя память, пока не удалось определить, так что возможны опять периоды нерабочего состояния... |
Откуда она взялась? Хакер получил доступ к файловой системе сервера? Тогда он мог бы вообще все грохнуть.
Или ты сам добавил файл с бесконечной рекурсией и не протестировал? Это маловероятно.
20.11.2012 08:24
Нет, это была инъекция, которую пропускал мой фильтр. Она не могла ничего сделать с базой кроме как нагружать ее чрезмерно. Я такой случай заткнул.
29.11.2012 16:57
Тут опять какая-то тварь мстит и гадит, так что может быть потяря сообщений и лажи с доступом, сорри...
29.11.2012 17:12
Как попы говорят: это все в нашу копилку :)1
29.11.2012 22:34
автор: usr сообщение 33904
Вот простой пример как нагрузить сервер не пролазия на него:
http://site/test.php?id=BENCHMARK(10000000,BENCHMARK(10000000,md5(current_date)))
BENCHMARK - эта функция просто выполняется в базе данных сервера отъедая часть ресурсов процессора. Если запустить много копий этой функции процессор исчерпает ресурсы и тогда начнутся сбои в работе сервера.
автор: nan сообщение № 34359
Дело в том, что сейчас, если верить прессе (xakep.ru к примеру), хакерствовать становится модно. На данный момент существует просто гигантское количество инструментов для всевозможных кибер преступлений. Человеку даже не нужно вникать как они работают, бери и используй(все в открытом доступе и многое бесплатно, если нужно что-то серьезное, то это можно прикупить). Таким образом понятно почему сайты подвергаются постоянному сканированию (да что там сайты я даже со своего ноута раз в несколько месяцев выгребаю троянов, при этом имею и firewall и antivirus). Не обязательно кто-то мстит могут просто так ради прикола. К тому же сейчас за такие преступления в России не наказывают. Реальные сроки пока только в Европе и США дают(и то если совершили что-то серьезное), опять же если верить xakep.ru.
Откуда она взялась? Хакер получил доступ к файловой системе сервера? Тогда он мог бы вообще все грохнуть.
Или ты сам добавил файл с бесконечной рекурсией и не протестировал? Это маловероятно.
Вот простой пример как нагрузить сервер не пролазия на него:
http://site/test.php?id=BENCHMARK(10000000,BENCHMARK(10000000,md5(current_date)))
BENCHMARK - эта функция просто выполняется в базе данных сервера отъедая часть ресурсов процессора. Если запустить много копий этой функции процессор исчерпает ресурсы и тогда начнутся сбои в работе сервера.
автор: nan сообщение № 34359
Tут опять какая-то тварь мстит и гадит
Дело в том, что сейчас, если верить прессе (xakep.ru к примеру), хакерствовать становится модно. На данный момент существует просто гигантское количество инструментов для всевозможных кибер преступлений. Человеку даже не нужно вникать как они работают, бери и используй(все в открытом доступе и многое бесплатно, если нужно что-то серьезное, то это можно прикупить). Таким образом понятно почему сайты подвергаются постоянному сканированию (да что там сайты я даже со своего ноута раз в несколько месяцев выгребаю троянов, при этом имею и firewall и antivirus). Не обязательно кто-то мстит могут просто так ради прикола. К тому же сейчас за такие преступления в России не наказывают. Реальные сроки пока только в Европе и США дают(и то если совершили что-то серьезное), опять же если верить xakep.ru.
30.11.2012 01:23
>>> я даже со своего ноута раз в несколько месяцев выгребаю троянов, при этом имею и firewall и antivirus
Лучше Linux использовать, ну или на худой конец Mac Os X, который перезагружать с какой-то разумной частотой. Посещать только известные тебе сайты, неизвестные смотреть через iOS, например.
Ативирусы не защищают от программ троянов, которые не успели слишком разрастись. Нормальный злоумышленник вполне в состоянии прогнать свою программу через все более или менее доступные антивирусные программы и сделать так, чтобы те её не замечали. Удаление трояна на вряд ли решит вопрос полностью, если троян проник на компьютер, то обычно он что-то предпринимает для того, чтобы проникнуть на компьютер в следующий раз ему или его собрату было проще.
30.11.2012 04:36
| автор: traveler сообщение 34365: |
Вот простой пример как нагрузить сервер не пролазия на него:http://site/test.php?id=BENCHMARK(10000000,BENCHMARK(10000000,md5(current_date))) |
Ответ дан здесь, потому что фильтр не дает публиковать php код: удаляет переменные, начинающиеся со знака $.
30.11.2012 08:50
автор: Айк сообщение 34370
Да, Айк мне вес это известно ). Но к яблочным продуктам я отношусь прохладно(нет у них теплого лампового звука ))) ). Linux тоже подвержен атакам как и остальной популярный soft. Дело даже не в операционке, а в уязвимых программах типа Adob Acrobat Reader (.pdf), которые в системе стоят. Особенно если они умеют работать в сети. А если злой робат уже попал на машину он может использовать любой уязвимый программный продукт для повышения привилегий, был скажем просто user, а стал root и все делай что хош.
автор: usr сообщение № 34376
я там не зарегистрирован. BENCHMARK - это не для PHP, она напрямую запускается СУБД MySQL.
Лучше Linux использовать, ну или на худой конец Mac Os X, который перезагружать с какой-то разумной частотой. Посещать только известные тебе сайты, неизвестные смотреть через iOS, например.
Ативирусы не защищают от программ троянов, которые не успели слишком разрастись. Нормальный злоумышленник вполне в состоянии прогнать свою программу через все более или менее доступные антивирусные программы и сделать так, чтобы те её не замечали. Удаление трояна на вряд ли решит вопрос полностью, если троян проник на компьютер, то обычно он что-то предпринимает для того, чтобы проникнуть на компьютер в следующий раз ему или его собрату было проще.
Да, Айк мне вес это известно ). Но к яблочным продуктам я отношусь прохладно(нет у них теплого лампового звука ))) ). Linux тоже подвержен атакам как и остальной популярный soft. Дело даже не в операционке, а в уязвимых программах типа Adob Acrobat Reader (.pdf), которые в системе стоят. Особенно если они умеют работать в сети. А если злой робат уже попал на машину он может использовать любой уязвимый программный продукт для повышения привилегий, был скажем просто user, а стал root и все делай что хош.
автор: usr сообщение № 34376
Ответ дан здесь,
я там не зарегистрирован. BENCHMARK - это не для PHP, она напрямую запускается СУБД MySQL.
30.11.2012 09:42
А ты пробовал BENCHMARK на скорчере?
30.11.2012 12:58
| автор: traveler сообщение № 34378: |
| я там не зарегистрирован |
Прошу прощения, я думал там можно без регистрации смотреть. Оказывается, нельзя.
nan, можешь дать возможность писать php код здесь? А то неудобно на другом сайте публиковать. Даю картинкой:
[картинка скрыта]
| автор: traveler сообщение № 34378: |
| BENCHMARK - это не для PHP, она напрямую запускается СУБД MySQL. |
Я знаю. Я привел пример кода на php, который не запускает эту функцию.
30.11.2012 23:25
автор: nan сообщение 34381
Нет, но тогда когда пытался пролезть эта функция сработала бы т.к. не всё отфильтровывалось. Я думал ты это починил не?
автор: usr сообщение № 34384
Этот кусок кода может и не запускает BENCHMARK. Но симптомы запуска видно сразу. Если BENCHMARK не запускается, а просто ищется строка, как на картинке, то злоумышленник уведет ошибку (если она выводится, если не выводится, то все равно ответ от сервера какой-то будет) говорящую о том, что строка не найдена. А в случае запуска, браузер слегка подвиснет в ожидании ответа от сервера, который как раз и обсчитывает BENCHMARK в данный момент. Вот как-то так.
А ты пробовал BENCHMARK на скорчере?
Нет, но тогда когда пытался пролезть эта функция сработала бы т.к. не всё отфильтровывалось. Я думал ты это починил не?
автор: usr сообщение № 34384
не запускает эту функцию.
Этот кусок кода может и не запускает BENCHMARK. Но симптомы запуска видно сразу. Если BENCHMARK не запускается, а просто ищется строка, как на картинке, то злоумышленник уведет ошибку (если она выводится, если не выводится, то все равно ответ от сервера какой-то будет) говорящую о том, что строка не найдена. А в случае запуска, браузер слегка подвиснет в ожидании ответа от сервера, который как раз и обсчитывает BENCHMARK в данный момент. Вот как-то так.
30.11.2012 23:31
Сейчас попробовал. Отклик сервера сразу. Так что, наверно такая DoS атака не пройдет.
19.10.2013 16:59
nan, я нашёл пару интересных мест для атаки. Но, не могу понять как в личку писать. Вроде такая возможность была. Если интересно могу рассказать и показать )
20.10.2013 11:33
и сейчас есть в шапке форума, но лучше написать прямо мне на мыло fornit@scorcher.ru
20.10.2013 13:00
Написал.