|
|
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Добрый день! Обращаюсь к Вам всеуважаем олл с такой проблемой, поизошло следующее мне ломанули сайт, и залили скрипт рассылки спама, к этому скрипту из лога обращается множество ай-пи, чтобы рассылать, привожу логи, может кто че знает про этот ботнет ? Например его владцельца ? Код: sql 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. 58. 59. 60. 61. 62. 63. 64. 65. 66. 67. 68. 69. 70. 71. 72. 73. 74. 75. 76. 77. 78. 79. 80. 81. 82. 83. 84. 85. 86. 87. 88. 89. 90. 91. 92. 93. 94. 95. 96. 97. 98. 99. 100. 101. 102. 103. 104. 105. 106. 107. 108. 109. 110. 111. 112. 113. 114. 115. 116. 117. 118. 119. 120. 121. 122. 123. 124. 125. 126. 127. 128. 129. 130. 131. 132. 133. 134. 135. 136. 137. 138. 139. 140. 141. 142. 143. 144. 145. 146. 147. 148. 149. 150. 151. 152. 153. 154. 155. 156. 157. 158. 159. 160. 161. 162. 163. 164. 165. 166. 167. 168. 169. 170. 171. 172. 173. 174. 175. 176. 177. 178. 179. 180. 181. 182. 183. 184. 185. 186. 187. 188. 189. 190. 191. 192. 193. 194. 195. 196. 197. 198. 199. 200. 201. 202. 203. 204. 205. 206. 207. 208. 209. 210. 211. 212. 213. 214. 215. 216. 217. 218. 219. 220. 221. 222. 223. 224. 225. 226. 227. 228. 229. 230. 231. 232. 233. 234. 235. 236. 237. 238. 239. 240. 241. 242. 243. 244. 245. 246. 247. 248. 249. 250. 251. 252. 253. 254. 255. 256. 257. 258. 259. 260. 261. 262. 263. 264. 265. 266. 267. 268. 269. 270. 271. 272. 273. 274. 275. 276. 277. 278. 279. 280. 281. 282. 283. 284. 285. 286. 287. 288. 289. 290. 291. 292. 293. 294. 295. 296. 297. 298. 299. 300. 301. 302. 303. 304. 305. 306. 307. 308. 309. 310. 311. 312. 313. 314. 315. 316. 317. 318. 319. 320. 321. 322. 323. 324. 325. 326. 327. 328. 329. 330. 331. 332. 333. 334. 335. 336. 337. 338. 339. 340. 341. 342. 343. 344. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 14:05 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
еще добавлю, что большенство серверов из godaddy специально построены под такую атаку, когда заходишь по ip видишь, что появляется pageok и так на многих, кто сталкивался с таким ботнетом ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 15:16 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
вот например 184.168.193.121 и так далее из списка можно выбрать, что это такое ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 15:23 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
авторкто че знает про этот ботнет ? Например его владцельца ? А зачем про него знать ? адресное проклятие насылать будете ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 16:21 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
wadman, на vds! Это может как-то помочь ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 18:02 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindавторкто че знает про этот ботнет ? Например его владцельца ? А зачем про него знать ? адресное проклятие насылать будете ? ну скажем, интересно с какой целью такой хакерский ботнет функционирует ? и по всей видимости там еще и половина ломанных серверов ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 18:04 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, так это вы и так могли бы догадаться : ботнет функционирует с целью личного обогащения хозяина. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 18:55 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
wadmanNetsystem, http://www.sql.ru/forum/1172812/kak-borotsya-s-botami ну действенного метода там никто не подсказал, вот например как быстро вычислить, если ломанули сайт и залили скрипты ? А вот это и нужно по всей видимости отслеживать, если такое произошло, нужно это отследить и сделать автоматический бан, для всех ай-пи которые будут обращаться к этому скрипту, который был залит, путем взлома сайта... поэтому если кто-то знает как это реализовать, прошу подсказать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 21:57 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, >ля всех ай-пи которые будут обращаться к этому скрипту, который был залит, путем взлома сайта fail2ban но с такими могучими знаниями лучше наперёд поискать админа ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 22:03 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
мимопроходилтреднечитал, а что fail2ban умеет отслеживать появление новых файлов в корне сайта ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 22:05 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
мимопроходилтреднечиталNetsystem, >ля всех ай-пи которые будут обращаться к этому скрипту, который был залит, путем взлома сайта fail2ban но с такими могучими знаниями лучше наперёд поискать админа твои знания мы уже увидели, жесть ))))) Назначение Fail2ban Основной задачей Fail2ban является обнаружение и блокирование отдельных IP-адресов, с которых производятся попытки несанкционированного проникновения в защищаемую систему. Такие "враждебные" IP-адреса определяются по результатам наблюдения за файлами журналов - log-файлами (например, /var/log/secure, /var/log/faillog и т.д.). Если с какого-либо IP-адреса выполняется слишком много попыток зарегистрироваться в защищаемой системе или производятся какие-либо другие подозрительные действия, то хост с этим IP-адресом блокируется на некоторый интервал времени, определённый системным администратором, т.е. ни один пакет, посланный с такого заблокированного хоста, не будет принят. Такая блокировка выполняется посредством изменения правил (rules) сетевого экрана (iptables). каким образом file2ban может помочь, если к файлу идет обращение с разных ip и они не повторяются ? а ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 22:09 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, зачем усложнять вообще ? может, все банальнее - сайт взломали и разместили в каком-то списке на потеху. Либо они из гугла приходят : сайт имел характерную широкоизвестную уязвимость коробочного движка, которую можно найти просто введя в гугл характерную последовательность. В любом случае, ваше дело - устранить уязвимость, а не заниматься теоретизированием кто это делает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 23:23 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindNetsystem, зачем усложнять вообще ? может, все банальнее - сайт взломали и разместили в каком-то списке на потеху. Либо они из гугла приходят : сайт имел характерную широкоизвестную уязвимость коробочного движка, которую можно найти просто введя в гугл характерную последовательность. В любом случае, ваше дело - устранить уязвимость, а не заниматься теоретизированием кто это делает. нифига себе потеха ? ты видел какой ботнет и с каких ай-пи пытался рассылать спам ? просто по всей видимости автоматизиврованная система, ломают сервер загружают, а потом эти сервера, ломяться с рассылкой, но ведь в этом списке есть и сервера, которые специально простроены для хакерских атак! они же еще как-то управляются, так что вычислить владельца ботнета, наверное очень сложно будет ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 23:46 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindВ любом случае, ваше дело - устранить уязвимость, а не заниматься теоретизированием кто это делает. ну попытки рассылать спам была найдена быстро и устранена, а уязвимость тоже, а вообще никакому быдлу не позволю рассылать спам через сервера которые я админю, вот и подумал, может кто уже разрабатывал решения или готовые по быстрому выявлению взлома сайтов ? то есть может утилитка какая-то есть, которая создает базы по файлам и по размерам и каждый час например ппроверяет что где изменилось или какие новые файлы появились + надстройка, чтобы IP которые пытаются подключаться к таким скриптам - быстренько банить ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2015, 23:51 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
miksoft, file2ban не умеет следить за файлами, нормальная вещь по отсеживанию файлов в системе называется aide, но нужно придумать как еще банить доступ по IP к новопоявленным файлам ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 00:07 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemможет кто уже разрабатывал решения или готовые по быстрому выявлению взлома сайтов ? В вашем случае все сводится лишь к установке обновлений для движка - инфа 99%. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 00:10 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
вот кстати файлец с помощью которого рассылается спам ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 00:11 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwind, интересно, а откуда такая уверенность ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 00:21 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, не вы первый, не вы последний. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 01:15 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemкаким образом file2ban может помочь, если к файлу идет обращение с разных ip и они не повторяются ? а ? Прежде чем vds сломают, к нему подбирают пароль. Вот для этого случая и поможет fail2ban: особенно с последней фичей, как прогрессирующий бан. Сначала на час, потом на два, потом на сутки. Таким образом систему будут "ломать" годами, если пароль не 123. А следом и отпадут нелепые вопросы, как отследить, что сайт уже взломан. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 09:26 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
wadmanNetsystemкаким образом file2ban может помочь, если к файлу идет обращение с разных ip и они не повторяются ? а ? Прежде чем vds сломают, к нему подбирают пароль. Вот для этого случая и поможет fail2ban: особенно с последней фичей, как прогрессирующий бан. Сначала на час, потом на два, потом на сутки. Таким образом систему будут "ломать" годами, если пароль не 123. А следом и отпадут нелепые вопросы, как отследить, что сайт уже взломан. разговор идет за взлом сайта и залитие php-вредоносов, а не за взлом сервера... и вот ищется нормальное рациональное решение, для быстрого выявления такого, чтобы даже если и получилось ломануть сайт и залить какой-то скрипт, то при обращении к ниму вызывался бан по IP! file2ban - этого всего не умеет! пароли никто не подбирает, сначала ломают сайт, заливают вредоносы, а потом с помощью php пытаются получить доступ к серверу.. поэтому исходя из твоих ответов, наверное ты с этим не сталкивался.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 09:47 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
loginovruwadmanпропущено... Прежде чем vds сломают, к нему подбирают пароль. Вот для этого случая и поможет fail2ban: особенно с последней фичей, как прогрессирующий бан. Сначала на час, потом на два, потом на сутки. Таким образом систему будут "ломать" годами, если пароль не 123. А следом и отпадут нелепые вопросы, как отследить, что сайт уже взломан. разговор идет за взлом сайта и залитие php-вредоносов, а не за взлом сервера... и вот ищется нормальное рациональное решение, для быстрого выявления такого, чтобы даже если и получилось ломануть сайт и залить какой-то скрипт, то при обращении к ниму вызывался бан по IP! file2ban - этого всего не умеет! пароли никто не подбирает, сначала ломают сайт, заливают вредоносы, а потом с помощью php пытаются получить доступ к серверу.. поэтому исходя из твоих ответов, наверное ты с этим не сталкивался.... да уж........ loginov +1 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 09:49 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
loginovruсначала ломают сайт Расскажи, как ломают сайт. А потом вместе сделаем выводы, кто и с чем сталкивался. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 09:54 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemда уж........ loginov +1 +1? как можно под чем-то подписываться будучи автором такой темы? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 09:55 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
wadmanNetsystemда уж........ loginov +1 +1? как можно под чем-то подписываться будучи автором такой темы? ну так человек вник в суть проблемы и пишет по существу, file2ban - реально спасет от мелкого ддоса и все... а вот находить скрипты свежезагруженные скрипты php и делать по ним бан он не умеет.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 10:06 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemа вот находить скрипты свежезагруженные скрипты php и делать по ним бан он не умеет.... Почитай уже документацию или найди админа толкового. А я скромно удалюсь. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 10:11 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemwadmanпропущено... +1? как можно под чем-то подписываться будучи автором такой темы? ну так человек вник в суть проблемы и пишет по существу, file2ban - реально спасет от мелкого ддоса и все... а вот находить скрипты свежезагруженные скрипты php и делать по ним бан он не умеет.... Так каким образом скрипты вообще получилось залить ? Нужно же причину устранить, а не бороться со следствием постоянно. И поэтому основной способ решения проблем у непутевого вебмастера - обновление движка. Сначала нужно скачать ту же старую версию и сравнить отличия на предмет закладок. Потом сделать обновление всего движка. Если бы вы сами написали сайт, то не спрашивали бы тут. Так же посмотрите как работает lmd и ai-bolit.php. Эти решения закладки помогут найти, но вообще надо делать как я написал. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 11:20 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwind, движок magento оказалось, что есть в природе эксплоиты SUPEE-5344, SUPEE-1533 которые помогли получить доступ для того, чтобы позаливать шелы, а оттуда уже и все вытекающие... движек я не обновлял, а накатил патчи по безопасности... ai-bolit уже нажел, то что после того как залили вредоносы.... вот до сих пор ботнет ломится думает что скрипт для рассылки спама все еще там лежит) Код: sql 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 11:42 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemдвижек я не обновлял, а накатил патчи по безопасности... А каким образом установили, что нужны только эти два патча ? Если вы встретились с самой популярной проблемой, это не значит что в движке нет других проблем. Поэтому нужно обновлять все. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 11:46 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
loginovruищется нормальное рациональное решение, для быстрого выявления такого, чтобы даже если и получилось ломануть сайт и залить какой-то скрипт, то при обращении к ниму вызывался бан по IP Отключить у Апача ПХП модуль и проблема рассосётся сама собой. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 11:50 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindNetsystemдвижек я не обновлял, а накатил патчи по безопасности... А каким образом установили, что нужны только эти два патча ? Если вы встретились с самой популярной проблемой, это не значит что в движке нет других проблем. Поэтому нужно обновлять все. понимаешь меня мало интересуют, уязвимости в сайтах, закладки от производителей и прочее, на это можно потратить очень много времени и в итоге ничего не получить, проще сходить на сайт производтеля сайта и почитать об уязвимостях движка, меня интересует, утилиты/методы, что если произошел взлом сайта, залились какие-то скрипты, чтобы админа можно было максимально быстро уведомить, что вот такое произошло... сока уже мессаг, а по существу не говорим, а еще меня очень интересует вот этот ботнет ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 12:04 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, все понятно. Ну, в добрый путь. Одно хорошо - эти ребята научат вас логике постепенно через серию взломов. Главное чтоб у вас денег хватило. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 12:59 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemменя интересует, утилиты/методы, что если произошел взлом сайта, залились какие-то скрипты, чтобы админа можно было максимально быстро уведомить, что вот такое произошло... сока уже мессаг, а по существу не говоримМою ссылку вы проигнорировали. Тогда не жалуйтесь. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 13:39 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Вот исходник гениальной Системы Обнаружения Вторжений Немедленного Реагирования (1 час) Музыка народная, слова - мои. Код: sql 1. 2. 3. 4. 5. 6. 7. 8. 9. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 14:04 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwind Немедленного Реагирования ( 1 час ) Противоречиво... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 14:09 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
wadman, как и многое другое в нашем мире. Суть задумки в том, чтобы владельцу сайта приходили уведомления о любых новых файлах php и js, а не только о тех, которые показались подозрительными антивирусу или т.п. ПО. Во время активных работ на сайте не нужно чтобы слишком часто отвлекало. Для ТС это очень важный момент и покажет на практике, что взлом будет происходить постоянно, пока не обновит весь сайт. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 14:18 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
А не проще закрыть каталоги сайта от записи акком, под которым запускается уэб-сервер?.. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 14:51 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwind, это ребята уже уже смокчут red-lolipop7 :) я вообще-то все вредоносы достал помимо скрипта рассылки спама, могу приложить кому интересно! А логика у ребят такая там, приходит кулхацкер ломает сайт, заливает шелл, а потом уже ботнет через этот шел в автоматическом режиме подливает то скрипты для рассылки спама, то еще чего-то.... вот прикреплю кому интересно для анализа их скрипты... Модератор: Вложение удалено. Модератор: Вложение удалено. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 16:01 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwind, да скрипт неплохой, а если я залью php || js и изменю время и дату его, скрипт такой файл обнаружит ? ))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 16:09 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Код: sql 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. 58. 59. 60. 61. 62. 63. 64. 65. 66. 67. 68. 69. 70. 71. 72. 73. 74. 75. 76. 77. 78. 79. 80. 81. 82. 83. 84. 85. 86. 87. 88. 89. 90. 91. 92. и что ? никто с этим ботнетом не сталкивался кроме меня ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 16:23 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemnetwind, да скрипт неплохой, а если я залью php || js и изменю время и дату его, скрипт такой файл обнаружит ? ))) Да. Хотя это не очевидно и потребует для понимания погружения в тонкости работы файловых систем в unix. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 16:36 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwind, эээ ты наверное сам не тестил, вот изменил дату 123.php Код: sql 1. 2. 3. запускаем твой скрипт Код: sql 1. 2. 3. 4. 5. че-то не наблюдаю здесь 123.php только что мной созданный и измененный во времени... ))) а ботнет это кастати маскриует свои файлы залитые меняя у них дату и время либо свои ставит какие-то, либо выбирает у ближайших... там ботпродуман очень неплохо, чтобы обнаружить невозможно было.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 17:08 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwind, так что твой скрипт негодицоо ((( ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 17:09 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindДля ТС это очень важный момент и покажет на практике, что взлом будет происходить постоянно, пока не обновит весь сайт. не будет, потому что критические уязвимосты были устранены, за счет патчей... пускай ищет кулхацхер очередную критическую уязвимость, чтобы залить шелл! тем более магенто молодцы сделали сервис, на проверку, наличие дырок в скриптах... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 17:15 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemnetwind, так что твой скрипт негодицоо ((( А, точно ! Это чуваки без меня уже меняли скрипт, а я взял с работающей машины. Правильно использовать find -cmin 60. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 18:57 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
NetsystemnetwindДля ТС это очень важный момент и покажет на практике, что взлом будет происходить постоянно, пока не обновит весь сайт. не будет, потому что критические уязвимосты были устранены, за счет патчей... пускай ищет кулхацхер очередную критическую уязвимость, чтобы залить шелл! тем более магенто молодцы сделали сервис, на проверку, наличие дырок в скриптах... Ты просто в гугле нашел какие-то наиболее популярные дыры. А надо исходить из того, что они там еще есть и будут. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 19:01 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindNetsystemnetwind, так что твой скрипт негодицоо ((( А, точно ! Это чуваки без меня уже меняли скрипт, а я взял с работающей машины. Правильно использовать find -cmin 60.Ерунда все это. Кулцхакер может дописаться в конец файла, поменять атрибуты, etc. Как я это вижу, нужно сделать md5 образ идеального содержимого сайта и с ним уже потом стравнивать текущее состояние его-же. Типа ЭЦП :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 19:08 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
mount read-only не предлагать?.. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 19:12 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Relic HunterЕрунда все это. Кулцхакер может дописаться в конец файла, поменять атрибуты, etc. Вообще-то нет. Предполагается, что пароль root горе-вебмастерам никто не дает, а позволить себе VPS - не их масштаб. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 19:13 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakovmount read-only не предлагать?.. "невозможно создать файл. интернет-могозин закрыт :(" ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 19:14 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwind"невозможно создать файл. интернет-могозин закрыт :(" "Интернет-могозин", пишущий файлы прямо в опубликованный каталог уэб-сервера, не стоило и открывать. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 19:18 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindВообще-то нет. Предполагается, что пароль root горе-вебмастерам никто не дает, а позволить себе VPS - не их масштаб.Зачем тут рут? Ну у себя в папке они могут творить что хотят? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 19:33 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, привет loginovru снова вату катаешь ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 19:57 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, там сессии. и редактор товаров. rss. и, прости господи, sitemap.xml. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 20:12 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Relic HunternetwindВообще-то нет. Предполагается, что пароль root горе-вебмастерам никто не дает, а позволить себе VPS - не их масштаб.Зачем тут рут? Ну у себя в папке они могут творить что хотят? Раз они не владеют root, то испортить информацию ctime они не могут никак . А значит, "сторожевой" скрипт всегда достоверно будет показывать изменения. Конечно, желательно и скрипт тоже от root запускать, но в первом приближении и так результативно будет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 20:16 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakovnetwind"невозможно создать файл. интернет-могозин закрыт :(" "Интернет-могозин", пишущий файлы прямо в опубликованный каталог уэб-сервера, не стоило и открывать. Да это прям золотые слова . Поэтому ВКонтакте сегодня объявил об открытии магазина прямо там http://www.gazeta.ru/tech/news/2015/09/11/n_7580039.shtml В общем, половина веб-студий может сразу закрываться. Им и сейчас уже не сладко. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 20:19 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakovnetwind"невозможно создать файл. интернет-могозин закрыт :(" "Интернет-могозин", пишущий файлы прямо в опубликованный каталог уэб-сервера, не стоило и открывать. А, самое главное забыл : шаблоны компилируются повсеместно. И кешированием в виде создания полностью готовых к отдаче файлов сейчас принято решать любые проблемы производительности у программистов. Короче, read-only не катит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 20:22 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindDimitry Sibiryakovпропущено... "Интернет-могозин", пишущий файлы прямо в опубликованный каталог уэб-сервера, не стоило и открывать. А, самое главное забыл : шаблоны компилируются повсеместно. И кешированием в виде создания полностью готовых к отдаче файлов сейчас принято решать любые проблемы производительности у программистов. Короче, read-only не катит. "Кривые руки не для скуки". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 20:30 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindТы просто в гугле нашел какие-то наиболее популярные дыры. А надо исходить из того, что они там еще есть и будут. нет, это не я нашел, а кулхацкер (хоязин ботнета) нашел и применил их к сайту, а мне пришлость выявить и принять определенные меры, а то, что в скриптах будут возможно еще со временем найдены дыры какие-то так это уже закономерность и вникать в это нету смысла... оставим эти проблемы разработчикам... ну надо же через пару суток ботнету дошло, что скрипта там уже давным давно нету))) реально интересный ботнет, троянить сервера, создавать свои, и делать атаки на сайты.... возможно даже кулхацкер не один ? Код: sql 1. 2. 3. 4. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 21:01 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
авторPHP Fatal error: Allowed memory size of 134217728 bytes exhausted О, а это как раз базу с Персональными Данными сливают ) Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей. - ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 21:07 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindRelic HunterЕрунда все это. Кулцхакер может дописаться в конец файла, поменять атрибуты, etc. Вообще-то нет. Предполагается, что пароль root горе-вебмастерам никто не дает, а позволить себе VPS - не их масштаб. а вот кстати хороший вопрос, и не только атрибуты, кулхацкер, может дописат во все файлы куски каких-то скриптов, что потом чтобы почистить это все прийдется просто восстановить из бэкапа... поэтому вопрос очень актуальный по поводу системы какой-то наблюдения и чтобы очень быстро выявить и восстановить и может быть это даже будет помогать при анализе выявления путей взлома.... но опять же если фтп/админка пошифрованные, если нет, тогда нет смысла заморачиваться... ))) тут уже совсем другая истроия... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 21:23 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindавторPHP Fatal error: Allowed memory size of 134217728 bytes exhausted О, а это как раз базу с Персональными Данными сливают ) Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей. - неее, это кулхацкер не может успокоиться )))) нашел еще какой-то "действенный" метод.... )) чтобы написать рабочий сплоит нужно очень хорошо рубить в php,js,барузерах,безопасности, по всей видимости к этому хакеру это не относится! Но попытки покекать сайт какие-то делает... пускай занимается, не будет отвлекать как говориться... ) Код: sql 1. 2. 3. 4. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 21:30 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemно опять же если фтп/админка пошифрованные, если нет, тогда нет смысла заморачиваться... ))) тут уже совсем другая истроия... Да просто эта вся потеха должна запускаться от root независимо и отправлять почту владельцу сайта. Но на практике, шанс, что при заливке шелла поменяют еще и время модификации mtime довольно высокий, а вот ctime не поменяют никак. Это служебное поле заполняется ОС. Даже не существует никакого системного вызова для его изменения. Только когда root портит файловую систему прямым чтением. Так что вам то как раз не надо много выдумывать. Нужно просто делать. Если подозреваете, что кто-то догадается удалить из crontab все задачи - просто перезакачивайте файлы задания и запускайте crontab -e иногда. Программа /usr/bin/crontab им не дастся. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2015, 21:53 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwindРаз они не владеют root, то испортить информацию ctime они не могут никак .netwindа вот ctime не поменяют никакя, конечно, зануда, но: Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2015, 15:27 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
miksoft, я тебе еще в самом начале говорил ))) тут надо стрктуру создавать с файлами БД и каждый час сравнивать на наличие измений ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2015, 17:36 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
miksoft, мда... надо какой-то действенный метод.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2015, 17:37 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
ботнет продолжает развлекаться Код: sql 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2015, 17:46 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
loginovru, он умеет отслеживать обращения к вновь появившимся файлам, так автор ставил задачу ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2015, 18:41 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, всё сноси, начисто переустанавливай и впредь не пользуйся пхпмуадминами и испманагерами, а вместо этого следи за обновлениями своих cms и их плугинов ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2015, 18:44 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemmiksoft, мда... надо какой-то действенный метод....Если идти кустарным путем - хранить хэши или целиком все файлы в сторонке, а по случаю срабатывания скрипта netwind-а проводить более полный анализ вплоть до diff-а измененных файлов. Или использовать готовые системы такого рода. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2015, 19:37 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
miksoft, атаки продолжаются, что это за херня ? Код: sql 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2015, 21:02 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
miksoftТ.е. внедренный скрипт может "потачить" все файлы сайта и тем самым замаскировать реальные изменения. Таки да.Но и скрипт все равно поднимет шум и можно уже сравнивать с бекапом. это подозрительно: автор[Sat Sep 12 14:23:32 2015] [error] [client 50.63.197.108] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins Дело в том, что я посмотрел и SUPEE-5344, SUPEE-1533 не относятся к tiny_mce, однако в этом компоненте была какая-то широкоизвестная уязвимость. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2015, 22:57 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
netwind, ну суть этих уязвимостей в том, что можно выполнить произвольный код! Но подозрительно в том, что это за ботнет такой ? 50.63.197.108 - пришет pageok и если пошерстить эти ай-пи то там очень много таких ответов, pageok... и сервера godaddy ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2015, 23:22 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemчто это за ботнет такой ?Не вижу смысла в вопросе. Ботнетов существуют многие тысячи, они регулярно продаются, сдаются в аренду, угоняются, создаются и умирают. Кроме того, немалая часть сидит за разными NAT-ами, прокси-серверами и т.п. Даже не столько в попытках замаскироваться, сколько просто потому, что так сделан выход в интернет у пораженных компов. Поэтому даже специализирующиеся организации за всеми не могут уследить. Либо забейте на такие запросы, либо баньте неугодных (либо на файрволле, либо в конфиге веб-сервера). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2015, 01:15 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
miksoftЛибо забейте на такие запросы, либо баньте неугодных У меня сложилось впечатление, что аффтар вкладывает в слово "ботнет", совершенно другой смысл, отличный от общепринятого. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2015, 12:17 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, судя по создаваемым тобой тредам и по тому, что у тебя ломаный-переломаный ботами хостинг, твоих знаний хватает только на демонстрацию гонора. fail2ban хоть и убог, но может больше, чем ты смог прочитать о нём по первой ссылке из гугля. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.09.2015, 10:30 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
мимопроходилтреднечиталNetsystem, судя по создаваемым тобой тредам и по тому, что у тебя ломаный-переломаный ботами хостинг, твоих знаний хватает только на демонстрацию гонора. fail2ban хоть и убог, но может больше, чем ты смог прочитать о нём по первой ссылке из гугля. а судя по твоим ответам здесь на форуме - одно ламье, нету нормальных специалистов... одни демагоги, которые в поставленных вопросах нифига не понимают... а пытаются навязывать свое какое-то мнение это касается ненужного мне "fail2ban", которая не имеет никакого отношения к созданной теме, впорос был поставлен очень корректно! радует хоть один человек как-то попытался помочь.. и то с переменным успехом... ))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2015, 21:45 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, Так вот и мне тоже непонятна ваша активность по наблюдению за поведением разных идиотовботнетов. Вам шашечки или ехать? Ежели ехать, то можно тупо посадить в svn код сайта, вывести какой-нить бренч на продакшн и силами самого svn делать diff по содержимому сайта, да хоть тем же кроном... им же и восстанавливать измененное аптоматически. Это ежели надо создать "защиту" от порчи скриптов сайта. А так, ну пофиксите, какие скрипты добавились и кто к ним обращается и тупо баньте по ИП. А ежели хочется в ответ на запрос "нагадить", то можно не банить "жестко" а на запрос отвечать "ок" и отправлять пару гигов мусора (сгенерить файло из порнофоток) ... и "пусть подавится проклятый долгоносик" (делал так, когда обнаружил попытки взлома и подбора пароля к домашнему серверу). Непонятны ваши отторжения предлагаемых вам средств... каждое из них может и не решает кардинально проблему, но постепенно защиты и выстраиваются. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.09.2015, 12:01 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemможет кто че знает про этот ботнет ? Например его владцельца ? Допустим узнаешь ФИО, домашний адрес ... и что дальше? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.09.2015, 19:12 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Dima Tчто дальше? Бита - багажник - лес. Хотя, если учесть направленность сайта, это скорее бита - багажник - костёр. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.09.2015, 19:15 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Dimitry SibiryakovDima Tчто дальше? Бита - багажник - лес. Хотя, если учесть направленность сайта, это скорее бита - багажник - костёр. Все верно, но к сожалению это не входит в программу ИТ-образования. Надо обращаться к выпускникам других ВУЗов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.09.2015, 19:39 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Arhat109, Смысл сделать такую систему наблюдения в том, чтобы если сайт ломанули можно было быстро узанать что это произошло, мы же не каждый день ходим на сервер и смотрим что происходит в логах... это делается для того чтобы занть, за какой день восстановить бэкап где этого всего не было... вот и хотелось бы услышать что-то из этой оперы... но мне здесь сразу посоветовали использвоть fail2ban, но внимательно почитав доку я так и не увидел где там есть способы мониторить за появлением/изменением/удалением файлов.... Предлогайте утилиты.. рассмотрим... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.09.2015, 22:01 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
NetsystemПредлогайте утилиты.. рассмотрим...Те, которые были по ссылке в моем посте от 10 сентября, уже рассмотрели? Все не годятся? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.09.2015, 23:03 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Интересно что на мировой арене Россия практически не заметна в плане каких-либо атак. http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=16701&view=map ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2015, 00:29 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, Я вам уже предложил готовое решение: svn (git и т.п.). Загоняете сайт в репозиторий и кроном периодически сверяете версии (да хоть каждый час или минуту). Как только появилось "расхождение" - поздравьте себя (письмом из крона), ваш сайт ломанули. Делаете ему "ап", тем же кроном из верной версии/транка/бранча и усё: код вашего сайта будет завсегда "целым и невредимым". Там же, в том же репозитории, можете вести и разработку. Только с порядком использования транков, бранчей определитесь. Дабы со стороны не было доступа к репе - проставьте правильные ограничения на уровне тех же .access файлов хотя бы. Этот же крон, при верной настройке репы, будет автоматически обновлять ваш сайт оперативно, в процессе разработки. Вам надо всего лишь сделать коммит в требуемый транк/бранч. :) .. только сдается мне, что это - не ваш путь... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2015, 06:46 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
maytonИнтересно что на мировой арене Россия практически не заметна в плане каких-либо атак. http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=16701&view=map Россия с GODADDY работает, поэтому и незаметно, вот как у меня атаки с godaddy ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2015, 08:52 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
loginovrumaytonИнтересно что на мировой арене Россия практически не заметна в плане каких-либо атак. http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=16701&view=map Россия с GODADDY работает, поэтому и незаметно, вот как у меня атаки с godaddy тоже только не думаю что это РОССИЯ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2015, 08:56 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Arhat109Я вам уже предложил готовое решение: svn (git и т.п.). Загоняете сайт в репозиторий и кроном периодически сверяете версии (да хоть каждый час или минуту). Как только появилось "расхождение" - поздравьте себя (письмом из крона), ваш сайт ломанули. И через годик будет целая база знаний по возможным атакам на свою ЦМС-ку. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2015, 09:31 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
NetsystemСмысл сделать такую систему наблюдения в том, чтобы если сайт ломанули можно было быстро узанать что это произошло, мы же не каждый день ходим на сервер и смотрим что происходит в логах... Нет смысла ее делать. Нормальные хостинг-провайдеры сами мониторят трафик своих клиентов. В случае нездоровой активности сообщают и/или блокировать начинают. А чтобы не ломанули - ограничь административный доступ (SSH, FTP и т.п.) своими IP. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2015, 09:38 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
maytonИнтересно что на мировой арене Россия практически не заметна в плане каких-либо атак. http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=16701&view=map так там и интернета нет особо. мало пользователей - мало ботов. Это процесс почти такой же естественный как ветер. А ТС пытается бороться с ветром. Поставил длинный пароль - и спи-отдыхай. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2015, 11:48 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Используя старые данные образца 2010 года по гео-локации и свои кустарные скриптики я провёл анализ источников атаки. И вот что у меня вышло. В отчотике последняя колонка Rate - указывает количество атак из сетки. Если вы найдете багу - то сообщайте plz. BeginIPEndIpCountryRegionCityRate222.73.24.0222.73.71.255CN23Shanghai1221.2.128.0221.2.145.255CN25Weihai1217.67.29.176217.67.31.255SK02Bratislava1217.39.144.0217.39.144.255GBF8Hemel Hempstead1217.26.144.0217.26.175.255MD48Chisinau1217.19.213.192217.19.221.255MD49Tiraspol1217.16.3.96217.16.15.255FRB8Marseille1216.239.128.0216.239.143.255USCATorrance1216.122.144.0216.122.144.255USWABellevue1216.97.224.0216.97.239.255USCALa Habra1216.55.137.242216.55.142.128USKSOverland Park1213.238.128.0213.238.191.255TR34Istanbul2213.145.128.0213.145.129.255KG01Bishkek1212.154.192.0212.154.192.255KZ07Karagandy2212.93.220.0212.93.223.255SA10Riyadh1212.83.128.0212.83.191.255FRA8Paris1212.80.19.0212.80.28.255IR28Tehran1211.149.0.0211.150.255.255CN22Beijing1210.245.72.0210.245.96.127VN44Hanoi1210.156.141.0210.157.63.255JP1210.86.226.128210.86.226.191VN44Hanoi1210.51.0.0210.51.19.255CN22Beijing1209.188.18.0209.188.18.255USNVLas Vegas1209.11.158.0209.11.161.255USCASanta Clara1208.115.192.0208.115.203.255USTXDallas1208.109.154.173208.109.239.127USAZScottsdale5208.109.64.0208.109.95.255USMNDuluth1208.94.236.0208.94.238.255USFLOrlando1207.210.70.0207.210.96.255USGAAtlanta1205.251.132.0205.251.135.255USCALos Angeles1204.93.174.0204.93.174.255USCASan Jose1204.93.156.128204.93.157.127USCASan Jose1204.74.208.167204.74.215.255USCASanta Clara1204.12.74.224204.12.97.127USDENewark1203.186.170.0203.186.170.255HK00Central District1203.162.215.128203.162.255.255VN44Hanoi1203.158.16.0203.158.23.255CN09Xuanwu1203.113.166.0203.113.175.255VN78Da Nang1203.94.86.0203.94.89.255LK36Colombo1202.172.24.0202.172.31.255JP1202.157.128.0202.157.175.255SG00Singapore1202.150.208.0202.150.216.255SG00Singapore1202.124.240.0202.124.247.255AU1200.58.120.0200.58.127.255AR21Rosario1198.252.64.0198.252.127.255USWAKirkland1195.74.36.0195.74.39.255SE26Kista1194.247.174.0194.247.179.255UA3193.232.240.0193.232.247.255RU48Moscow1188.127.232.0188.128.0.255RU3188.124.0.0188.124.31.255TR16Bursa3188.120.224.0188.120.255.255RU48Moscow1187.73.16.0187.73.47.255BR1186.202.0.0186.202.255.255BR2184.168.0.0184.168.255.255USAZScottsdale78182.124.128.0182.148.255.255CN1182.50.128.0182.50.159.255SG17180.247.0.0180.255.255.255ID1180.214.64.0180.214.95.255AU3180.152.160.0180.155.79.255CN1178.250.240.0178.250.247.255RU66Saint Petersburg10178.211.33.0178.211.33.255TR1178.62.120.0178.62.255.255RU48Moscow1178.32.48.0178.32.63.255GB1175.102.0.0175.102.255.255CN1174.136.0.0174.136.7.255USTXDallas2173.236.0.0173.236.29.255USILChicago1173.230.144.0173.230.155.255USNJAbsecon1173.208.52.0173.208.63.255USAZPhoenix1173.201.208.155173.201.255.255USAZScottsdale3173.201.186.8173.201.208.142USAZScottsdale19173.192.0.0173.192.146.255USTXDallas1162.13.0.0162.13.255.255GB1157.7.32.0157.7.255.255JP11Hiroshima2154.38.0.0154.64.255.255USDCWashington1130.63.0.0130.63.255.255CAONToronto1128.199.0.0128.199.255.255GBH9London1125.215.181.0125.215.181.255HK00Kowloon1125.212.130.0125.212.255.255VN20Ho Chi Minh City3123.49.34.96123.49.34.243BD81Dhaka1123.30.112.0123.31.255.255VN44Hanoi5122.155.8.0122.155.255.255TH40Bangkok1121.196.0.0121.199.255.255CN22Beijing1121.127.224.0121.127.255.255HK00Kwai Chung1121.92.156.128121.92.159.127JP19Yokohama1120.72.96.0120.72.127.255VN75Thu Dau Mot2118.244.0.0118.247.255.255CN22Beijing2118.123.16.0118.123.255.255CN32Chengdu1118.70.16.0118.70.95.255VN12Dong Ket1117.55.224.0117.55.234.31AU01Canberra1116.255.137.0116.255.255.255CN24Henan1115.146.120.0115.146.127.255VN44Hanoi1115.124.118.0115.124.127.255IN1115.78.164.0115.79.255.255VN44Hanoi1115.47.0.0115.47.255.255CN09Xuanwu1114.112.192.0114.113.29.255CN22Haidian1112.137.167.0112.137.167.255MY04Durian Tunggal1109.120.128.0109.120.191.255RU66Saint Petersburg1101.50.0.0101.50.3.255AP198.142.216.098.142.223.255USGAAtlanta197.74.215.097.74.215.255USMDGermantown397.74.138.21697.74.148.97USAZScottsdale997.74.24.18897.74.24.255USMDHyattsville897.74.24.097.74.24.185USMDHyattsville1295.142.80.095.142.82.119TJ195.128.72.095.128.79.255FRA8Paris194.102.0.094.102.12.255TR293.191.104.093.191.111.255RU58Perm193.125.96.093.125.100.171BY02Gomel293.89.232.093.89.239.255TR34Istanbul192.124.128.092.124.191.255RU54Omsk192.53.120.092.53.127.255RU69Lomonosova292.53.68.092.53.119.255RU66Saint Petersburg291.218.228.091.218.231.255RU191.212.89.091.212.89.255UZ391.205.72.091.205.75.255PL74Lodz191.203.144.091.203.147.255UA191.203.4.091.203.7.255UA13Kiev191.126.156.091.126.191.255ES189.238.162.089.238.162.255GBP6Worthing289.223.80.089.223.127.255RU66Saint Petersburg189.218.92.4889.218.95.255KZ05Astana189.135.184.089.135.191.255HU05Budapest189.106.0.089.106.25.7TR34Istanbul186.162.10.086.162.15.255GBL9Sheffield185.128.128.085.128.143.255PL77Cracow284.255.239.12884.255.239.255SI09Maribor182.118.0.082.118.31.255US281.176.224.081.176.227.255RU48Moscow281.88.48.081.88.63.255IT16Florence180.172.231.080.172.255.255PT14Lisboa180.74.67.080.74.67.255FRB5Saint-nazaire279.172.20.079.172.54.255RU71Yekaterinburg179.170.40.5079.170.47.255GBJ8Nottingham178.8.178.078.8.179.255PL41Zabice177.246.144.077.246.159.255RU30Khabarovsk177.245.144.077.245.159.255TR35Izmir177.222.48.077.222.63.255RU38Lenin377.120.32.077.120.47.255UA15Lvov177.87.192.077.87.199.255UA175.150.241.12675.150.241.159USILChicago174.220.219.074.220.219.255USDEWilmington174.220.215.12874.220.218.255USUTProvo174.208.110.24274.208.125.255USPAWayne174.105.59.12874.105.59.255USNJKeyport174.81.186.074.81.186.255USNCCharlotte172.167.168.072.167.255.255USAZScottsdale1172.167.145.7872.167.159.255USAZTempe372.167.128.072.167.145.76USAZTempe270.40.192.070.40.223.255USUTProvo169.195.120.069.195.127.255CAONEtobicoke269.89.16.069.89.31.255USUTProvo168.180.128.068.180.255.255USCASunnyvale168.178.254.068.178.254.255USMDGermantown267.23.230.067.23.255.255USFLOrlando167.20.64.067.20.127.255USUTProvo166.147.244.066.147.244.255USMDPotomac266.147.240.066.147.243.255USUTProvo566.135.40.066.135.47.255USTXSan Antonio166.34.10.066.34.255.254USTXBedford166.23.229.066.23.231.255USGAAlpharetta165.182.191.8665.182.191.97USTXPlano162.243.73.062.243.79.255DK18Endelave By161.152.197.9661.152.249.255CN23Shanghai161.19.250.061.19.251.255TH62Phuket161.19.248.4861.19.249.255TH40Bangkok261.4.80.061.4.95.255CN22Beijing159.188.202.059.188.255.255HK00Central District258.52.192.058.52.215.255CN33Chongqing154.0.0.054.255.255.255US152.0.0.052.128.29.255USDEWilmington150.32.0.050.63.255.255US9747.81.32.047.100.9.255CAONOttawa146.45.128.046.45.191.255TR146.29.48.046.29.55.255ES145.4.219.045.255.255.255USCASan Francisco227.254.0.027.254.255.255TH127.54.192.027.54.255.255CN124.117.66.024.117.66.255USMOKirksville1 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2015, 09:21 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Whats up? Как дела guys? Сабж актуален вообще? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.09.2015, 17:09 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
maytonWhats up? Как дела guys? Сабж актуален вообще? Ага. И выгоден ! Вот бизнес-план : Есть такая хитрая организация spamhaus. Вроде как со спамом борется, ведет какие-то списки, но по факту просто зарабатывает на исключении из списков. А совсем крупных провайдеров стесняются заносить в свои списки. Им нужно баланс соблюдать чтобы доверчивые ТС-ы продолжали ими пользоваться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.09.2015, 20:20 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
так че, удалось выяснить что за бот 0таки делал ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.09.2015, 20:44 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystem, ну хочешь, назови ботнет в честь себя. Ботнет Боткина. Что это изменит ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.09.2015, 21:04 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
больше интересует - кто это делает ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2015, 11:13 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
ботнет до сих пор жив вот зашел просто по IP 184.168.46.161 а оно мне pageok :)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2015, 11:19 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemбольше интересует - кто это делает ? Ну так позволь этой сети захватить свой комп, а потом посмотри откуда будут приходить приказы. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2015, 12:22 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, да ты понимаешь, мне как не посилам это вычилить, как опытнее меня может сам проведешь такое исследование ? А потом здесь опубликуешь ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2015, 16:27 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemможет сам проведешь такое исследование ? Когда коту делать нечего... (с) народная мудрость. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2015, 16:28 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
wadmanNetsystemможет сам проведешь такое исследование ? Когда коту делать нечего... (с) народная мудрость. та, нее у меня таких навыков нету чтобы вычислить.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2015, 16:49 |
|
||
|
ботнет
|
|||
|---|---|---|---|
|
#18+
Netsystemwadmanпропущено... Когда коту делать нечего... (с) народная мудрость. та, нее у меня таких навыков нету чтобы вычислить.... За то есть куча времени на всякую фигню (с) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2015, 16:51 |
|
||
|
|
start [/forum/topic.php?all=1&fid=25&tid=1481929]: |
0ms |
get settings: |
9ms |
get forum list: |
12ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
144ms |
get topic data: |
11ms |
get forum data: |
2ms |
get page messages: |
160ms |
get tp. blocked users: |
2ms |
| others: | 29ms |
| total: | 377ms |
| 0 / 0 |
