Как да разпозная хакерска атака? (Имам реален проблем)


1

Здравейте! От два дни сайтът ми се държи странно и регистрира огромен брой заявки към базата данни - например по 100 в секунда, 6 часа сутринта. В крайна сметка наетият сървър забива  и трябва да бъде рестартиран. Защитата показва, че несъществуващи домейни (whois не връща информация) със странни имена изпращат тези заявки - This post contains a suspected malware URL listed on Google's list of malware sites. The URL is: някой-си.бг.

Не мога да банна IP на наглеците, защото на практика и то не съществува - няма такова IP - например 5 00 55 66  - без точки между цифрите

Като новобранец - (пишман) програмист не мога да се ориентирам в ситуацията, за първи път ми се случва такова нещо. Със системните администратори вече сме на нож (може и да не са виновни), а аз си превиших кредитния лимит на телефона. Ако ви идва идея какво може да е  - благодарен съм на всякакви съвети.

ПП. Пиша тук, защото ситуацията много ми прилича на някои от видовете атаки, които Гатака описа по време на лекциите и с които сега се сблъсквам в реална обстановка. Ако въпросът не е за този раздел, моля администраторите да го преместят. 

Благодаря на всички отзовали се предварително! 




Отговори



0
Ако разбирам правилно, заявките са към сайта, който прави заявки към БД. Ако е така, покажи ни как изглеждат заявките в лога на сървъра за да ти кажем как да ги блокираш.

от staafl (5770 точки)


0
Това ми е изпратил администратора днес:
.... към уеб сървъра има над 100 едновременни заявки които в последствие ....
1 [##** 6.5%] Tasks: 349, 430 thr; 1 running 2 [##* 4.0%] Loadaverage: 108.65 61.42 29.17 3 [##** 5.7%] Uptime: 08:55:26 4 [##** 4.8%] Mem[|||||||||||||||||||||||||||||||||||||||||||||7731/7869MB] Swp[|||||||||||||||||||||||||||||||||||||||||||||3835/3999MB]
Parent Server Generation: 0 Server uptime: 2 minutes 54 seconds Totalaccesses: 2548 - TotalTraffic: 33.3 MB CPU Usage: - 43.3% CPU load 14.6 requests/sec - 196.1 kB/second - 13.4 kB/request 88 requestscurrentlybeingprocessed, 31 idleworkers
Parent Server Generation: 0 Server uptime: 3 minutes 48 seconds Totalaccesses: 5206 - TotalTraffic: 69.3 MB CPU Usage: - 78.3% CPU load 22.8 requests/sec - 311.3 kB/second - 13.6 kB/request 4 requestscurrentlybeingprocessed, 88 idleworkers

от korgas (127 точки)

0
не ме интересува performance анализът ти, а access_log-a :-)

от staafl (5770 точки)



0
Това ми дава администрацията, сега ще се опитам да взема логовете от сървъра
 
Post contains a suspected malware URL
Title: Някакво заглавие на публикация
Bad URL: http://www.s**s.bg/inner.php?offset=30&subj=8 / домейна - злосторник
Posted on: 2010-04-05 18:55:10
Severity: Critical
 
Иначе са общо десетина такива домейна

от korgas (127 точки)


1
Старите хора казват че на адвокат и доктор всичко се казва. Тук важи същото - ако искаш компетентна помощ е силно препоръчително да дадеш точното име на сайта, или поне да обясниш какво представлява сайта, с каква насоченост е. Така евентуално помагащите биха имали някаква представа дали сайта е "оперативно интересен" и някой целенасочено се опитва да проникне вътре, или просто някой пишман хакер си тества скриптовете, свалени от нета върху теб.
Аи сисадмините на хостинг компанията ... вероятно и те са "по заместване", щом не могат да регистрират откъде идват заявките. Или просто не им се бачка.
Няма как да влезнат 100 заявки в секунда към твоя сайт и сисадмина да не може да логне това. Да, малко работа се иска, но би трябвало човека, който плаща да е преди всичко. Дори и аз с мойте абсолютно ламерски знания по Линукс преди години се опитвах да правя рутер който да върже офисната мрежа с нета. Работеше, колкото и да ми е чудно. И си спомням, че имаше някаква команда ли беше, нещо в ядрото ли се добавяше, но имах възможност да визуализирам на екрана аболютно всеки пакет който идва от нета и отива към някой от вътрешните компютри. IP на подателя, IP на получателя, тип пакет и данните в 16-тичен формат. Всичко това можеше да си го пренасочваш към файл, или да записваш само определени данни на пакета.
С'я се сещам - исках да хакна една онлайн игра... затова ми трябваше всичко което си "бърбоят" моя компютър и сървъра на играта в нета :)
Просто няма начин да не може да хванат откъде идват заявките. Ако трябва - ще сложат една междинна машина между твоя сървър и "лошия нет" където да логват трафика, но пак ще изкопчат информацията за нашественика.

от JulianG (5316 точки)


0

Опс... има нещо нередно в твоя сайт, баца...


от JulianG (5316 точки)


0
Това не е моя сайт, а един от тези, които се опитват да ме отровят. Логовете по всяка вероятност ще мога да покажа утре, сега пиша домашното :)

от korgas (127 точки)

0
Google Chrome казва: "Дори в миналото да сте посещавали безпрепятсвено този уебсайт, ако го отворите сега, е много вероятно да заразите компютъра си със злонамерен софтуер." Кажете ми, как само при отваряне на даден сайт, без сваляне на файлове, можеш да се заразиш с вирус?

от bakalov85 (604 точки)