Найти на форуме:
Loading




Показано с 31 по 31 из 31

Тема: Кулхацкеры снова

Древовидный режим

  1. 13.11.2008 01:56 #1
    yaroslavvv
    yaroslavvv вне форума
    Аналитик yaroslavvv Хранитель yaroslavvv Хранитель yaroslavvv Хранитель yaroslavvv Хранитель yaroslavvv Хранитель yaroslavvv Хранитель yaroslavvv Хранитель Аватар для yaroslavvv
    Регистрация
    07.11.2006
    Адрес
    Планета Земля. Пока, что.
    Сообщений
    1,343
    Сказал(а) спасибо
    20
    Поблагодарили 229 раз(а) в 114 сообщениях

    По умолчанию Внимание - ХАКЕРЫ

    С ростом сети увеличивается количество энтузиастов, которые развивают свои собственные сервисы, но так же растёт количество "вероятных противников". Так называемых "кулхацкеров". Хакерами таких не назвать, потому, что возможности их интеллекта ограничиваются использованием приграммы написанной каким-то достойным программистом.
    Но тем не менее неприятностей они доставить могут. И порой не мало. Поэтому предлагаю владельцам частных ресурсов на основании логов сервера или файрвола сообщать тут об атаках с тем, чтобы другие ваши коллеги могли сразу занести на своих серверах отморозков в чёрный список ещё до факта атаки!

    Ну а я начну:

    Запарили кулхацкеры точить тут свои когти, или как это называется. В общем на сегодня нашлось ещё двое отмороженных:

    IP адреса 10.100.40.156 (первый) и 10.100.4.75 (второй)
    Давно были забанены у меня в конфиге вебсервера, теперь, видимо со злости, решили подсирать. С начала ноября на текущий момент паразитного траффика в миллион и 100 тысяч запросов, что составляет 300мег и 30 мег уже за две недели. Это половина всего траффика этого домена.

    http://10.100.10.88/stat/usage_200811.html#TOPSITES

    в октябре второй на 13 миллионов паразитных запросов, первый 278 тысяч. Что составляет 3,7 гиг и 80 мег соответственно. Это 70% всего траффика домена.

    http://10.100.10.88/stat/usage_200810.html#TOPSITES

    Было замечено несколько "атак" в определённые промежутки времени. В такие моменты видны шквалы запросов по сотне в секунду. Если запросы второго больше похожи на зажатую кнопку F5, то первый пошёл дальше. Его запросы более похожи на сформированные какой-то приблудой.
    Не вижу смысла в партянках логов из одинаковых запросов, но если статистики webalizer'а не бостаточно, то могу предоставить оригинальные логи, если надо. У меня "все ходы записаны". Примеры:

    Код:
    10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://www.datasvit.ks.ua/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://www.datasvit.ks.ua/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
    Код:
    10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
    Мне такие мансы удовольствия не доставляют, так как ресурсы сервера и так не пределе. В принципе эти товарищи забанены теперь на серверном файрволе и больше меня не потревожат, но это может обернуться против других пользователей или сервисов сети.
    Так что прочим сайтостроителям предлагаю забанить эти адреса и у себя.

    Буду благодарен, если администрация вынесет товарищам официальное предупреждение или любую другую меру.
    Сразу скажу, что я как таковых претензий не имею, чтобы не повторять прошлую историю. Оставляю это на ваше усмотрение.

    PS предлагаю прикрепить тему. Заголовок и вступительное слово я поправил "в соответствии с ..."
    Последний раз редактировалось yaroslavvv; 14.11.2008 в 00:22.
    Крупнейший чат Херсона: http://commfort.yaroslav.ua-biz.info. И ты заходи!
    Разместить на FacebookЗакладка на Google
    Ответить с цитированием Ответить с цитированием   Вверх
« Video Chat | Администрация сети, помогите! »

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения

Правила форума

Херсонский ТОП   Рейтинг@Mail.ru МЕТА - Украина. Рейтинг сайтов

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112