Короткий адрес страницы: fornit.ru/3494
На форум
  Автор

Хакерская атака на сервер

(Просмотров: 17521)
Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 11742


E-Mail
1. « Сообщение №13022, от Январь 17, 2009, 08:30:11 AM»

страницы тормозят или вообще не открываются из-за хакерской спам-атаки на сервер. Сорри, принимаются меры, но против такого типа атак в мире нет приема...




Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 11742


E-Mail
2. « Сообщение №24063, от Июль 28, 2011, 10:33:48 AM»

Тем, кому приходят вдруг странные письма. Какой-то урод из Владивостока вот уже третий месяц подбирает ключики и портит местами базы. Его этиологию проследил: он долго упирался в попытках достичь высоких результатов в тесте и наконец устроив подгляделку сделал 100% в 20 типа попытках. Ну и до фига еще нагадил там. Потом начал прогонять сканером Netsparker все мои сайты и испытывать все дырки (которые есть всегда у всех. Ну, я написал в отдел К москвы и владивостока, но пока не было оттуда реакции. Его IP 77.34.191.226 и 77.35.128.39. Наиболее заманчивые дыры, конечно, законопатил.

Сильно он не досаждает (иначе взял бы за него серьезнее). Видимо пацан от 18 до 24, конечно же гаденыш из тех, что царапают когда думают, что их не достанешь.




traveler
Имеет права модератора этой темыSr. Poster

Сообщений: 237
3. « Сообщение №24088, от Июль 28, 2011, 08:39:51 PM»

автор: nan сообщение 24063
Его IP 77.34.191.226 и 77.35.128.39.

А вдруг он(типа хакер) работает через цепочки проксисерверов? Тогда нельзя точно сказать откуда он. Мне вот из Китая и Новой Зеландии бывало ломились ))).


Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 11742


E-Mail
4. « Сообщение №24089, от Июль 28, 2011, 08:42:36 PM»

конечно, только этот козлик не раз четко засветился.




Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 11742


E-Mail
5. « Сообщение №33865, от Ноябрь 18, 2012, 05:01:08 PM»

Тут какая-то фигня объявилась на сервере, непонятно какой скрипт подвешивает, переполняя память, пока не удалось определить, так что возможны опять периоды нерабочего состояния...




traveler
Имеет права модератора этой темыSr. Poster

Сообщений: 237
6. « Сообщение №33869, от Ноябрь 18, 2012, 07:06:10 PM»

Полазил тут у тебя, nan, чуть чуть и кое что нарыл. Тебе на заметку:

Обнаружились sql уязвимости.


В дереве каталогов сайта выходы на админки вроде все запрещены... Это хорошо.

Спасибо за это сообщение! Благодарность от: W - E

Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 11742


E-Mail
7. « Сообщение №33872, от Ноябрь 18, 2012, 07:19:45 PM»

Ну, ты свой человек, давай попробуй инъекции, если что-то получится мне скажешь, ладно?

пс Пароли не в в MD5, а круче :)




traveler
Имеет права модератора этой темыSr. Poster

Сообщений: 237
8. « Сообщение №33873, от Ноябрь 18, 2012, 07:28:57 PM»

автор: nan сообщение 33872
давай попробуй инъекции


Можно, конечно, и покавыряться ).


traveler
Имеет права модератора этой темыSr. Poster

Сообщений: 237
9. « Сообщение №33876, от Ноябрь 18, 2012, 09:06:17 PM»

Да... Так, ну... вручную пролезть не удалось. Стандартные уловки не помогли. Так что можно спать спокойно..., пока. ))) Есть еще всякие злые сканеры.


Род: Женский
W - E
Имеет права модератора этой темыInfra Real

Сообщений: 1488

10. « Сообщение №33882, от Ноябрь 19, 2012, 09:39:40 AM»

автор: nan сообщение 33865:
Тут какая-то фигня объявилась на сервере, непонятно какой скрипт подвешивает, переполняя память, пока не удалось определить, так что возможны опять периоды нерабочего состояния...
автор: traveler сообщение № 33876:
Так что можно спать спокойно..., пока. )))

Foot in mouth / выдергивая седой Волос /  




usr
Имеет права модератора этой темыScorcher God

Сообщений: 519
11. « Сообщение №33904, от Ноябрь 20, 2012, 01:00:46 AM»

автор: nan сообщение № 33865:
Тут какая-то фигня объявилась на сервере, непонятно какой скрипт подвешивает, переполняя память, пока не удалось определить, так что возможны опять периоды нерабочего состояния...

Откуда она взялась? Хакер получил доступ к файловой системе сервера? Тогда он мог бы вообще все грохнуть.

Или ты сам добавил файл с бесконечной рекурсией и не протестировал? Это маловероятно.

 

 




Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 11742


E-Mail
12. « Сообщение №33909, от Ноябрь 20, 2012, 08:24:05 AM»

Нет, это была инъекция, которую пропускал мой фильтр. Она не могла ничего сделать с базой кроме как нагружать ее чрезмерно. Я такой случай заткнул.




Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 11742


E-Mail
13. « Сообщение №34359, от Ноябрь 29, 2012, 04:57:34 PM»

Тут опять какая-то тварь мстит и гадит, так что может быть потяря сообщений и лажи с доступом, сорри...




Род: Мужской
Palarm
Имеет права модератора этой темыInfra Real

Сообщений: 2420
14. « Сообщение №34360, от Ноябрь 29, 2012, 05:12:10 PM»

Как попы говорят: это все в нашу копилку


traveler
Имеет права модератора этой темыSr. Poster

Сообщений: 237
15. « Сообщение №34365, от Ноябрь 29, 2012, 10:34:19 PM»

автор: usr сообщение 33904
Откуда она взялась? Хакер получил доступ к файловой системе сервера? Тогда он мог бы вообще все грохнуть.

Или ты сам добавил файл с бесконечной рекурсией и не протестировал? Это маловероятно.


Вот простой пример как нагрузить сервер не пролазия на него:
http://site/test.php?id=BENCHMARK(10000000,BENCHMARK(10000000,md5(current_date)))

BENCHMARK - эта функция просто выполняется в базе данных сервера отъедая часть ресурсов процессора. Если запустить много копий этой функции процессор исчерпает ресурсы и тогда начнутся сбои в работе сервера.

автор: nan сообщение № 34359
Tут опять какая-то тварь мстит и гадит


Дело в том, что сейчас, если верить прессе (xakep.ru к примеру), хакерствовать становится модно. На данный момент существует просто гигантское количество инструментов для всевозможных кибер преступлений. Человеку даже не нужно вникать как они работают, бери и используй(все в открытом доступе и многое бесплатно, если нужно что-то серьезное, то это можно прикупить). Таким образом понятно почему сайты подвергаются постоянному сканированию (да что там сайты я даже со своего ноута раз в несколько месяцев выгребаю троянов, при этом имею и firewall и antivirus). Не обязательно кто-то мстит могут просто так ради прикола. К тому же сейчас за такие преступления в России не наказывают. Реальные сроки пока только в Европе и США дают(и то если совершили что-то серьезное), опять же если верить xakep.ru.


Айк
Имеет права полного администратора сайта - админ

Сообщений: 3762
16. « Сообщение №34370, от Ноябрь 30, 2012, 01:23:40 AM»

>>> я даже со своего ноута раз в несколько месяцев выгребаю троянов, при этом имею и firewall и antivirus

Лучше Linux использовать, ну или на худой конец Mac Os X, который перезагружать с какой-то разумной частотой. Посещать только известные тебе сайты, неизвестные смотреть через iOS, например.

Ативирусы не защищают от программ троянов, которые не успели слишком разрастись. Нормальный злоумышленник вполне в состоянии прогнать свою программу через все более или менее доступные антивирусные программы и сделать так, чтобы те её не замечали. Удаление трояна на вряд ли решит вопрос полностью, если троян проник на компьютер, то обычно он что-то предпринимает для того, чтобы проникнуть на компьютер в следующий раз ему или его собрату было проще.




usr
Имеет права модератора этой темыScorcher God

Сообщений: 519
17. « Сообщение №34376, от Ноябрь 30, 2012, 04:36:57 AM»

автор: traveler сообщение 34365:

Вот простой пример как нагрузить сервер не пролазия на него:http://site/test.php?id=BENCHMARK(10000000,BENCHMARK(10000000,md5(current_date)))

Ответ дан здесь, потому что фильтр не дает публиковать php код: удаляет переменные, начинающиеся со знака $.




traveler
Имеет права модератора этой темыSr. Poster

Сообщений: 237
18. « Сообщение №34378, от Ноябрь 30, 2012, 08:50:45 AM»

автор: Айк сообщение 34370
Лучше Linux использовать, ну или на худой конец Mac Os X, который перезагружать с какой-то разумной частотой. Посещать только известные тебе сайты, неизвестные смотреть через iOS, например.

Ативирусы не защищают от программ троянов, которые не успели слишком разрастись. Нормальный злоумышленник вполне в состоянии прогнать свою программу через все более или менее доступные антивирусные программы и сделать так, чтобы те её не замечали. Удаление трояна на вряд ли решит вопрос полностью, если троян проник на компьютер, то обычно он что-то предпринимает для того, чтобы проникнуть на компьютер в следующий раз ему или его собрату было проще.


Да, Айк мне вес это известно ). Но к яблочным продуктам я отношусь прохладно(нет у них теплого лампового звука ))) ). Linux тоже подвержен атакам как и остальной популярный soft. Дело даже не в операционке, а в уязвимых программах типа Adob Acrobat Reader (.pdf), которые в системе стоят. Особенно если они умеют работать в сети. А если злой робат уже попал на машину он может использовать любой уязвимый программный продукт для повышения привилегий, был скажем просто user, а стал root и все делай что хош.

автор: usr сообщение № 34376
Ответ дан здесь,


я там не зарегистрирован. BENCHMARK - это не для PHP, она напрямую запускается СУБД MySQL.


Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 11742


E-Mail
19. « Сообщение №34381, от Ноябрь 30, 2012, 09:42:13 AM»

А ты пробовал BENCHMARK на скорчере?




usr
Имеет права модератора этой темыScorcher God

Сообщений: 519
20. « Сообщение №34384, от Ноябрь 30, 2012, 12:58:03 PM»

автор: traveler сообщение № 34378:
я там не зарегистрирован

Прошу прощения, я думал там можно без регистрации смотреть. Оказывается, нельзя.

nan, можешь дать возможность писать php код здесь? А то неудобно на другом сайте публиковать. Даю картинкой:

 

автор: traveler сообщение № 34378:
BENCHMARK - это не для PHP, она напрямую запускается СУБД MySQL.

Я знаю. Я привел пример кода на php, который не запускает эту функцию.




traveler
Имеет права модератора этой темыSr. Poster

Сообщений: 237
21. « Сообщение №34398, от Ноябрь 30, 2012, 11:25:50 PM»

автор: nan сообщение 34381
А ты пробовал BENCHMARK на скорчере?


Нет, но тогда когда пытался пролезть эта функция сработала бы т.к. не всё отфильтровывалось. Я думал ты это починил не?

автор: usr сообщение № 34384
не запускает эту функцию.


Этот кусок кода может и не запускает BENCHMARK. Но симптомы запуска видно сразу. Если BENCHMARK не запускается, а просто ищется строка, как на картинке, то злоумышленник уведет ошибку (если она выводится, если не выводится, то все равно ответ от сервера какой-то будет) говорящую о том, что строка не найдена. А в случае запуска, браузер слегка подвиснет в ожидании ответа от сервера, который как раз и обсчитывает BENCHMARK в данный момент. Вот как-то так.


traveler
Имеет права модератора этой темыSr. Poster

Сообщений: 237
22. « Сообщение №34399, от Ноябрь 30, 2012, 11:31:19 PM»

Сейчас попробовал. Отклик сервера сразу. Так что, наверно такая DoS атака не пройдет.


traveler
Имеет права модератора этой темыSr. Poster

Сообщений: 237
23. « Сообщение №40087, от Октябрь 19, 2013, 04:59:33 PM»

nan, я нашёл пару интересных мест для атаки. Но, не могу понять как в личку писать. Вроде такая возможность была. Если интересно могу рассказать и показать )


Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 11742


E-Mail
24. « Сообщение №40088, от Октябрь 20, 2013, 11:33:26 AM»

и сейчас есть в шапке форума, но лучше написать прямо мне на мыло coder




traveler
Имеет права модератора этой темыSr. Poster

Сообщений: 237
25. « Сообщение №40090, от Октябрь 20, 2013, 01:00:37 PM»

Написал.