BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: хакнули сервер
СообщениеДобавлено: Ср 25 апр, 2012 12:41 pm 
Не в сети

Зарегистрирован: Ср 25 апр, 2012 12:37 pm
Сообщения: 1
Сеть сервачёт используется под хостинг, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. )
переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули.
как определить какой ?
при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно.
Как определить в каком из сайтов на серваке дыра через которую это делают ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 25 апр, 2012 2:29 pm 
Не в сети

Зарегистрирован: Сб 15 июл, 2006 5:28 pm
Сообщения: 473
Ну и какая тут OC? Г-код Г-сайтов на Г-хостинге Г-администриуемый хммм Г-админом никоим образом не влияет на безопастность ОС.
С тем же успехом ты можешь отфорвардить это бессмысленное послание
создателю php. :cry:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: хакнули сервер
СообщениеДобавлено: Ср 25 апр, 2012 4:12 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 23 июл, 2008 7:38 pm
Сообщения: 199
Откуда: Москва
Привет.

А с LogLevel-ом апача игрался. Может LogLevel mod_php5:debug? Апач какой у тебя? Ещё, есть программка "lsof", может она поможет пролить свет.

nikulich писал(а):
Сеть сервачёт используется под хостинг, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. )
переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули.
как определить какой ?
при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно.
Как определить в каком из сайтов на серваке дыра через которую это делают ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 18 сен, 2012 11:10 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
Как организовано разделение между сайтами? Просто средствами апача?
Используеются-ли jail?

Последний сам сейчас постепенно щупаю ...

По идее если отдельные сайты не по jail - то переведя оные в них, сможете разделить сайты "по отдельным системам" и уже в момент появления "флуда" отследить какой именно из сайтов/jail проломали ...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: хакнули сервер
СообщениеДобавлено: Вт 18 сен, 2012 10:54 pm 
Не в сети

Зарегистрирован: Сб 08 сен, 2012 11:04 am
Сообщения: 8
nikulich писал(а):
Сеть сервачёт используется под хостинг, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. )
переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули.
как определить какой ?
при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно.
Как определить в каком из сайтов на серваке дыра через которую это делают ?


шелл залили скорее всего
пройдись по eval - щас очень модно

как не забавно - пройдись clamav , находит много шелов
99% что какой нить /images/ имеет 777

ну и запрети конечно udp кроме 53 keep-state и куда надо


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 18 сен, 2012 10:56 pm 
Не в сети

Зарегистрирован: Сб 08 сен, 2012 11:04 am
Сообщения: 8
olexande писал(а):
Как организовано разделение между сайтами? Просто средствами апача?
Используеются-ли jail?

Последний сам сейчас постепенно щупаю ...

По идее если отдельные сайты не по jail - то переведя оные в них, сможете разделить сайты "по отдельным системам" и уже в момент появления "флуда" отследить какой именно из сайтов/jail проломали ...


имя 10тки-100ни и тд сайтов смешно юзать джейл

;)

впрочем еще забавнее надеятся на safe-mode


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 19 сен, 2012 10:35 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
ок, а что - "не смешно"?

ЗЫЖ А nikulich создал тему и пропал :(


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 19 сен, 2012 7:47 pm 
Не в сети

Зарегистрирован: Сб 08 сен, 2012 11:04 am
Сообщения: 8
olexande писал(а):
ок, а что - "не смешно"?

ЗЫЖ А nikulich создал тему и пропал :(


на мой взгляд по джейлу на сайт это чрезмерно ресурсоемко.
если сайтов много то либо php chroot либо простой чрут
ну и само сабой расстановка нормальных прав и выключение обработчиков пхп в /upload , /images и тп

я правда не админил сервера с 50~ сайтами
либо 1-5 либо > 100

возможно 60 джейлов это и вариант ;)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 20 сен, 2012 2:52 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
На jail'ы теоретически можно временно перевести сайты, и это поможет определить проломанный ...

chroot как-то даст возможность определить, "кто флудит"?...

Опять-же ТС ни чего не написал о том, что и как у него настроено/организовано/что с ресурсами ...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 20 сен, 2012 7:56 pm 
Не в сети

Зарегистрирован: Сб 08 сен, 2012 11:04 am
Сообщения: 8
olexande писал(а):
На jail'ы теоретически можно временно перевести сайты, и это поможет определить проломанный ...

chroot как-то даст возможность определить, "кто флудит"?...

Опять-же ТС ни чего не написал о том, что и как у него настроено/организовано/что с ресурсами ...



там специфичная вещь - думаю, чтоб понять кто флудит, достаточно будет отключить socket* в пхп и смотреть еррорлоги ;)

а тс пропал, может он забыл скрипт какой то - он и флудил
а щас вспомнил :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 21 фев, 2013 5:15 pm 
Не в сети

Зарегистрирован: Пн 07 янв, 2013 5:06 pm
Сообщения: 1
Цитата:
на мой взгляд по джейлу на сайт это чрезмерно ресурсоемко.
если сайтов много то либо php chroot либо простой чрут
ну и само сабой расстановка нормальных прав и выключение обработчиков пхп в /upload , /images и тп

я правда не админил сервера с 50~ сайтами
либо 1-5 либо > 100

возможно 60 джейлов это и вариант


Вот с этим я тоже согласен .


Последний раз редактировалось Katkind Сб 11 май, 2013 5:20 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 24 мар, 2013 1:17 pm 
Не в сети

Зарегистрирован: Вс 24 мар, 2013 12:30 pm
Сообщения: 2
Если шел залит, то имеет смысл посмотреть текущие соединения.
И через htaccess блокировать сайт и смотреть когда прервется соединение.
Ну как вариант поиска шела.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика