Newm

newmoscow.ru
Рейтинг
100
Регистрация
18.05.2003
Хетцер отключил за участие в атаке. Как найти заразу?

В принципе заразу нашли на одном из аккаунтов.

И здесь от 27 марта

https://devlog.websafe.pl/2013/03/27/outdated-joomla-websites-with-jce-used-to-attack-beneficial-data-processing-corp-and-regions-financial-corporation/

Порты частично пооткрывали...

Ставим отслеживалку, которая при 5 мбит/сек шлет СМС с предупреждением, а при 15 мбит/сек тупо на сутки отрубает желающего качать что-то с такой скоростью.

Хетцер отключил за участие в атаке. Как найти заразу?
iHead:
если не запретили исходящий UDP, то запретите, но выборочно

Эээ... А почему выборочно? На данный момент вроде бы запретили полностью.

Хетцер отключил за участие в атаке. Как найти заразу?
madoff:
iptables умеете контролировать исходящие пакеты, если дырка есть и начнется флуд, то вы можете заметить на графиках своих, но при этом надо ограничить так что бы флуд исходящий не пересекался с фильтром ДЦ и они вас Блочить не будут и вы сможете в реалтайм найти дырку, как-то так.

Можно ли объяснить как-то понятнее?

И второй вопрос уже ко всем...

Сейчас поставили ограничения на исходящие соединения. Но, т.к. соединения режутся на моменте открытия, то естественно понять что и куда пытается попасть, очень сложно:(. Ну, сапу, юниплейс, майнлинк, еще что-то подобное определили просто вбивая IP в строку поиска гугла. С остальными IP проблемы. По хуизам принадлежат каким-то хостерам, чего туда кто-то ломится, не понятно.

Может быть есть какая-то софтина, с помощью которой можно направить все пакеты на нее или на наш другой сервер в хецнере, сказать запрашивающему скрипту, что соединение установлено и получить текст запроса с урлом и параметрами?

Хетцер отключил за участие в атаке. Как найти заразу?
madoff:
Проблема в вас, и вы её можете от себя ограничить, до маршрутизатора. Который снимает трафик с вас.

Не понял... Сайты при этом будут работать или нет?

Атака на Wells Fargo конкретно с нас шла в пределах часа, судя по всплеску на статистике нагиоса. Нам надо подождать с неработающими сайтами, когда кто-то попробует активизировать дыру до следующей атаки?

А если (да и скорее всего так) оно активизируется только через дырявый движок какого-нибудь сайта, то ее вообще не активизируют при неработающих сайтах...

Т.е. я не понял, что надо добавить к тому, что уже предпринято?

Хетцер отключил за участие в атаке. Как найти заразу?
madoff:
Для того чтобы в будущем избегать проблем, настройте исходящий траф в iptables таким образом что бы не попадать под фильтр ДЦ - и ищите проблему.

Как найдите, так и отключайте ограничения.

Осознание данной фразы вызывает у нас проблему:). Как можно обойти маршрутизатор ДЦ?

---------- Добавлено 29.03.2013 в 15:30 ----------

Andreyka:
Вы не путаете входящие и исходящие?

Не думаю, что путаем. Хотя конкретикой занимается админ, т.к. я знаком только с теорией.

---------- Добавлено 29.03.2013 в 15:39 ----------

Electronn:
1. от какого пользователя созданы файлы ?

Кстати, админ попросил сказать "спасибо", т.к.

=======

www-data, значит заливались через дыру в сайте

=======

Хетцер отключил за участие в атаке. Как найти заразу?
Electronn:
1. от какого пользователя созданы файлы ?
2. как работает апач для сайтов ? ( mod_php, CGI, FastCGI )
3. была ли проверка автоматикой ? ( maldet, avg, clamav )
4. полностью ли обновления система и движки сайтов ?
5. выставлены ли верные права на каталоги и файлы ?
6. висит ли что-нибудь в процессах или подключениях ? ( ps aux , netstat -antu )

Элементарные вещи то мы естественно сделали.

Обновить движки клиентских сайтов - это как?

Естественно в процессах ничего не висит. Если бы висело, то разобрались бы и с дебаггером.

Andreyka:
Тогда закрыть все и мониторить.

2) В фаерволе оставлены открытыми только следующие порты:

ssh, ftp, http and smtp, причем запросить с самого сервера по http нельзя.

Без этих открытых портов не будут работать сайты вообще, остальное закрыли.

Плюс в нагиосе поставили смс уведомления при превышении трафика больше 5 мбит/сек. Не исключаю, что поставим в нем автоматическое отрубание сервака при 10 или 15 мбит/сек, если не найдем вариантов решения проблемы.

Проблема клиента с УСН 15% стать клиентом

Доведение коммерческой информации до неопределенного круга лиц - это самая натуральная реклама. И продвижение - тоже самая натуральная реклама.

Куплю домен "премиум" юридической тематики. Дорого!

jurcenter.ru

Можно с имеющимся дизайном.

воры из Яндекс-каталога
HruPifPaf:
Херня. Доказывать авторство постфактум значительно сложнее. Как минимум потребуется лингвистическая экспертиза. Разоритесь на экспертизе и адвокатах.

Если я заявляю, что я автор произведения, то человек, неправомерно использующий объекты моих авторских прав будет вынужден доказывать, что он использует их правомерно:

1) Что я ему разрешил это делать.

2) Либо другой человек, являющийся владельцем авторских прав разрешил ему использование.

Во втором случае в суде будет состязательный процесс, когда этот "другой человек" будет доказывать, что он это написал.

Лично я всегда четко знаю, что я пишу и почему это написано именно так. Представить эксперта в нужной области, готового пойти на убедительное лжесвидетельствование в суде ой какая непростая задача.

Тематика у ТС довольно специфическая и если она реально этим много лет занимается, то едва ли многим лжесвидетелям удасться убедить судью, что это они написали.

А уж экспертиза потребуется только если у судьи возникнут сомнения, кто же из авторов писал статью.

Яндекс Деньги кинули на Деньги!!!

Наверное не в тему, но уж если здесь появился представитель яндекс-денег, хочу спросить: "Появился ли у вас или когда появится нормальный кошелек, в котором я могу автоматом посмотреть, откуда мне пришли деньги?"

В вебмани - там все просто... Если я не знаю, откуда мне пришли деньги на кошелек, то тыкаю на кнопочку возврат и никаких претензий ко мне быть не может. А тут... Я не могу даже понять, кто и сколько мне перевел (по крайней мере в том кошельке, который у меня стоит).

12345678 ...59
Всего: 581