Jump to content

Mironoff

Members
  • Content Count

    6
  • Joined

  • Last visited

    Never

About Mironoff

  • Rank
    Newbie

Profile Information

  • Location
    Ukraine
  1. Цитата:Данные форумчане пишут в папки, изолированные от хостинга? Вообще-то форумчане данные вообще никакие не пишут, по крайней мере ни загрузка файлов, аватаров, и т.п. на этих форумах не разрешена. То, что у phpbb-х форумов немеренно дырок - я думаю, все знают, поэтому мы постарались ограничить опасный функционал до минимума. По поводу антивируса - конечно проверили, вроде все чисто...
  2. А DNS-сервер не поднят , а все пакеты идут на определенный IP, причем где-то очень далеко в Штатах... Я так понимаю атака организована скорее всего в целях положить локальную подсеть, в которой находится сервер. Либо положить сам сервер "изнутри"... Давайте я немного постараюсь уточнить вопрос: Какими средствами, анализом каких логов можно определить источник (генератор) флуда (в результате анализа этих данных мы сможем определить, как злоумышленник попал на сервер)? Если это исполняемый файл - как его найти? Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ? Конечно, сейчас мы постарались максимально все закрыть, но если файл (генератор) остался на сервере, а параметры атаки (порт, мощность, время) возможно передать, зная URL этого файла - проблема остается...
  3. по всплеску наблюдали генерацию порядка 30-80 тыс. пакетов в секунду, которые генерировали трафик в 80Мб/с - причем исключительно udp-пакеты на 53-й порт... маловероятно, что это ошибка в форуме.
  4. Просмотрели очень много... искали исполняемый файл от другого юзера (апача, если файлик залили через дыру в форуме), искали недавно измененные файлы, проверяли их... ничего нет... как будто ничего и не было А ведь было! Конечно, есть вероятность того, что злоумышленник после атак этот файл удалил, но ведь должны же были остаться следы... просто уже не знаю, где искать.
  5. Ну конечно, закрыли Но, по большому счету, проблема осталась не решенной... Мне необходимо узнать - кто это сделал и как. И какими методами.
  6. Такая вот проблема: у меня есть сервер (CentOS), на котором хостятся несколько (20) сайтов, настроен suexec - сайты работают на PERL, кроме того есть 3 сайта на PHP (форумы phpbb), недавно столкнулся с такой проблемой - сервер периодически генерирует DoS-атаки на другой сервер по 53-му порту... Перерыл все логи - не могу найти источник... есть вероятность того, что поломали форумы phpbb, но мне же необходимо найти генератор атаки... как? Честно говоря я не очень большой специалист... особенно не ругайте проблема еще в том, что не смог отследить работу сервера именно во время проведения атаки. Помогите пожалуйста.
×
×
  • Create New...