- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте всем, сложилась неприятная ситуация, сообщил мне дата цент об анамально большом трафике , начал копать и выяснил что один из клиентских серверов (windows 2003) переодически направляет в определённом направлении UDP пакеты в несколько потоков, ну траф конечно же порезали на роутере что бы не уходило по назначению и решил я разобраться, говорю сразу участие в этом владельца сервера отклоняется на 100% , поэтому стал копать, с администрированием винды как то не особо приходилось сталкиваться, но спасибо гуглю и утилитке CurrPorts которая быстренько указала на виновника торжества , им оказался процесс httpd.exe (из пакета XAMPP)
Стандартно там висит два процесса слушающих 80 и 443 порт, но в какой то момент появляется процесс который открывает несколько UDP соединений и начинается UDP флуд, порты при этом на соединениях меняются рандомно, так что рубить по порту не вариант, закрыть всё кроме того что нужно так же не вариант так как там очень много чего, может кто сталкивался как образумить XAMPP а точнее его апачь ?
Ну а конфиг Апача будет? Кстати, он там обычный стоит.
а антивирус поставить и проверить там все не вариант?
Конфиг там стандартный так как виртуалхостов по сути нет:
а антивирус поставить и проверить там все не вариант?
проверяли кучей разных антивирусов , не обнаруживается ничего.
Так php случаем не как модуль?
Вероятно что как модуль так как это стандартный конфиг
Либо это не апач, а какой-то руткит, либо CurrPorts ошибся. Не должен апач UDP использовать, не нужно это ему. Попробуйте сравнить оригинальный XAMPP и то что стоит на сервере (md5). Учитывая что в XAMPP входит куча дырявого софта, особых проблем во взломе сервера не должно быть.
Наверно, какой-то скрипт через mod_php занимается этим.
Я бы поотключал все ненужные модули от греха.
В логах пишет что?
Наверно, какой-то скрипт через mod_php занимается этим.
Вы оказались правы, подгружен файл в котором флудер настроен!
babiy добавил 20.08.2011 в 01:08
ммм.... удаление файла не помогло, теперь во время атаки появляется соединение по 80 порту и в этом же процессе появляется флуд UDP
и ещё такой момент в диспетчере задач висит два процеса httpd.exe оба от SYSTEM под одним из них два TCP соединения на 80 порт и на 443 а вот от второго появляется атака, удаление процесса тут же рождает на его место другой