BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: хакнули сервер
СообщениеДобавлено: Ср 25 апр, 2012 12:41 pm 
Не в сети

Зарегистрирован: Ср 25 апр, 2012 12:37 pm
Сообщения: 1
Сеть сервачёт используется под хостинг, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. )
переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули.
как определить какой ?
при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно.
Как определить в каком из сайтов на серваке дыра через которую это делают ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 25 апр, 2012 2:29 pm 
Не в сети

Зарегистрирован: Сб 15 июл, 2006 5:28 pm
Сообщения: 473
Ну и какая тут OC? Г-код Г-сайтов на Г-хостинге Г-администриуемый хммм Г-админом никоим образом не влияет на безопастность ОС.
С тем же успехом ты можешь отфорвардить это бессмысленное послание
создателю php. :cry:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: хакнули сервер
СообщениеДобавлено: Ср 25 апр, 2012 4:12 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 23 июл, 2008 7:38 pm
Сообщения: 196
Откуда: Москва
Привет.

А с LogLevel-ом апача игрался. Может LogLevel mod_php5:debug? Апач какой у тебя? Ещё, есть программка "lsof", может она поможет пролить свет.

nikulich писал(а):
Сеть сервачёт используется под хостинг, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. )
переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули.
как определить какой ?
при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно.
Как определить в каком из сайтов на серваке дыра через которую это делают ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 18 сен, 2012 11:10 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
Как организовано разделение между сайтами? Просто средствами апача?
Используеются-ли jail?

Последний сам сейчас постепенно щупаю ...

По идее если отдельные сайты не по jail - то переведя оные в них, сможете разделить сайты "по отдельным системам" и уже в момент появления "флуда" отследить какой именно из сайтов/jail проломали ...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: хакнули сервер
СообщениеДобавлено: Вт 18 сен, 2012 10:54 pm 
Не в сети

Зарегистрирован: Сб 08 сен, 2012 11:04 am
Сообщения: 8
nikulich писал(а):
Сеть сервачёт используется под хостинг, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. )
переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули.
как определить какой ?
при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно.
Как определить в каком из сайтов на серваке дыра через которую это делают ?


шелл залили скорее всего
пройдись по eval - щас очень модно

как не забавно - пройдись clamav , находит много шелов
99% что какой нить /images/ имеет 777

ну и запрети конечно udp кроме 53 keep-state и куда надо


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 18 сен, 2012 10:56 pm 
Не в сети

Зарегистрирован: Сб 08 сен, 2012 11:04 am
Сообщения: 8
olexande писал(а):
Как организовано разделение между сайтами? Просто средствами апача?
Используеются-ли jail?

Последний сам сейчас постепенно щупаю ...

По идее если отдельные сайты не по jail - то переведя оные в них, сможете разделить сайты "по отдельным системам" и уже в момент появления "флуда" отследить какой именно из сайтов/jail проломали ...


имя 10тки-100ни и тд сайтов смешно юзать джейл

;)

впрочем еще забавнее надеятся на safe-mode


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 19 сен, 2012 10:35 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
ок, а что - "не смешно"?

ЗЫЖ А nikulich создал тему и пропал :(


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 19 сен, 2012 7:47 pm 
Не в сети

Зарегистрирован: Сб 08 сен, 2012 11:04 am
Сообщения: 8
olexande писал(а):
ок, а что - "не смешно"?

ЗЫЖ А nikulich создал тему и пропал :(


на мой взгляд по джейлу на сайт это чрезмерно ресурсоемко.
если сайтов много то либо php chroot либо простой чрут
ну и само сабой расстановка нормальных прав и выключение обработчиков пхп в /upload , /images и тп

я правда не админил сервера с 50~ сайтами
либо 1-5 либо > 100

возможно 60 джейлов это и вариант ;)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 20 сен, 2012 2:52 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
На jail'ы теоретически можно временно перевести сайты, и это поможет определить проломанный ...

chroot как-то даст возможность определить, "кто флудит"?...

Опять-же ТС ни чего не написал о том, что и как у него настроено/организовано/что с ресурсами ...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 20 сен, 2012 7:56 pm 
Не в сети

Зарегистрирован: Сб 08 сен, 2012 11:04 am
Сообщения: 8
olexande писал(а):
На jail'ы теоретически можно временно перевести сайты, и это поможет определить проломанный ...

chroot как-то даст возможность определить, "кто флудит"?...

Опять-же ТС ни чего не написал о том, что и как у него настроено/организовано/что с ресурсами ...



там специфичная вещь - думаю, чтоб понять кто флудит, достаточно будет отключить socket* в пхп и смотреть еррорлоги ;)

а тс пропал, может он забыл скрипт какой то - он и флудил
а щас вспомнил :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 21 фев, 2013 5:15 pm 
Не в сети

Зарегистрирован: Пн 07 янв, 2013 5:06 pm
Сообщения: 1
Цитата:
на мой взгляд по джейлу на сайт это чрезмерно ресурсоемко.
если сайтов много то либо php chroot либо простой чрут
ну и само сабой расстановка нормальных прав и выключение обработчиков пхп в /upload , /images и тп

я правда не админил сервера с 50~ сайтами
либо 1-5 либо > 100

возможно 60 джейлов это и вариант


Вот с этим я тоже согласен .


Последний раз редактировалось Katkind Сб 11 май, 2013 5:20 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 24 мар, 2013 1:17 pm 
Не в сети

Зарегистрирован: Вс 24 мар, 2013 12:30 pm
Сообщения: 2
Если шел залит, то имеет смысл посмотреть текущие соединения.
И через htaccess блокировать сайт и смотреть когда прервется соединение.
Ну как вариант поиска шела.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика