https://www.opennet.ru/openforum/vsluhforumID1/93296.html есть сервачёк используется под хостинг на freebsd, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. ) <br> переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули. <br> как определить какой ? <br> при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно. <br> Как определить в каком из сайтов на серваке дыра через которую это делают ?<br> https://www.opennet.ru/openforum/vsluhforumID1/93296.html#8 Thu, 26 Apr 2012 07:32:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt; искал адрес на кого идёт атака с меня, ничего не выдало <br>&gt;&gt; по IP куда идёт атака.<br>&gt;&gt; tmp закрыт на исполнение скриптов <br>&gt;&gt; у пользователей нет привелегий никаких таких. Однозначно идёт атака через сайт, точнее <br>&gt;&gt; через вир. домен на котором есть сайт с дырой. только как <br>&gt;&gt; именно узнать через какой именно непонятно.<br>&gt;&gt; есть номер процесса apach который грузит систему, но какой домен он обрабатывает <br>&gt;&gt; непонятно.<br>&gt; Можно попробовать server status для апача и посмотреть какой урл обрабатывает этот <br>&gt; pid <br><br>сервер статус буду юзать, пробовать спс.<br> https://www.opennet.ru/openforum/vsluhforumID1/93296.html#7 Thu, 26 Apr 2012 07:31:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt; по IP куда идёт атака.<br>&gt;&gt; tmp закрыт на исполнение скриптов <br>&gt;&gt; у пользователей нет привелегий никаких таких. Однозначно идёт атака через сайт, точнее <br>&gt;&gt; через вир. домен на котором есть сайт с дырой. только как <br>&gt;&gt; именно узнать через какой именно непонятно.<br>&gt;&gt; есть номер процесса apach который грузит систему, но какой домен он обрабатывает <br>&gt;&gt; непонятно.<br>&gt; lsof -p pid_apache <br>&gt; dtrace <br>&gt; truss -p pid_apache <br><br>за truss спс , не знал про это.<br>lsof ничего полезного не выдавало в моём случае.<br>Он полезен конечно не выдаёт крайне скудные результаты в этом случае.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/93296.html#6 Thu, 26 Apr 2012 03:48:47 GMT &gt; доменов 60+ а то и больше там, пользователей около 20, по логам <br>&gt; искал адрес на кого идёт атака с меня, ничего не выдало <br>&gt; по IP куда идёт атака.<br>&gt; tmp закрыт на исполнение скриптов <br>&gt; у пользователей нет привелегий никаких таких. Однозначно идёт атака через сайт, точнее <br>&gt; через вир. домен на котором есть сайт с дырой. только как <br>&gt; именно узнать через какой именно непонятно.<br>&gt; есть номер процесса apach который грузит систему, но какой домен он обрабатывает <br>&gt; непонятно.<br><br>Можно попробовать server status для апача и посмотреть какой урл обрабатывает этот pid<br> https://www.opennet.ru/openforum/vsluhforumID1/93296.html#5 Wed, 25 Apr 2012 19:40:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt; изначально не разграничив домены.<br>&gt; доменов 60+ а то и больше там, пользователей около 20, по логам <br>&gt; искал адрес на кого идёт атака с меня, ничего не выдало <br>&gt; по IP куда идёт атака.<br>&gt; tmp закрыт на исполнение скриптов <br>&gt; у пользователей нет привелегий никаких таких. Однозначно идёт атака через сайт, точнее <br>&gt; через вир. домен на котором есть сайт с дырой. только как <br>&gt; именно узнать через какой именно непонятно.<br>&gt; есть номер процесса apach который грузит систему, но какой домен он обрабатывает <br>&gt; непонятно.<br><br>lsof -p pid_apache<br>dtrace <br>truss -p pid_apache<br> https://www.opennet.ru/openforum/vsluhforumID1/93296.html#4 Wed, 25 Apr 2012 11:35:03 GMT вот тебе еще друг по несчастью, может оттуда что почерпнешь: http://www.opennet.ru/openforum/vsluhforumID10/5005.html<br> https://www.opennet.ru/openforum/vsluhforumID1/93296.html#3 Wed, 25 Apr 2012 11:24:36 GMT <br>&gt; по IP куда идёт атака.<br><br>резолви днс. + содержимое post запросов не логируются.<br><br>&gt; tmp закрыт на исполнение скриптов<br><br>там не обязательно скрипты должны быть - ищются следы, которые могут быть как скриптами так и нет.<br> <br>&gt; именно узнать через какой именно непонятно.<br><br>есть 2 варианта:<br>- включить логирование пидов, и посмотреть какой запрос обрабатывает данный процесс по логу.<br>- в случае неработы первого - программерский: грохнуть в корку этот процесс апача и с помощью gdb посмотреть все что внутрях у него творится на этот момент - весь запрос можно будет вытянуть.<br><br>&gt; есть номер процесса apach который грузит систему, но какой домен он обрабатывает <br>&gt; непонятно.<br><br>- если грузит сам апач - зри в сторону самого апача и его модулей - мод -перла, -пхп и пр.<br>тк с цги было бы все иначе. + как выше описал с логированием и коркой.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/93296.html#2 Wed, 25 Apr 2012 09:54:50 GMT &gt;[оверквотинг удален]<br>&gt; - часто дыры находят боты, которые по определенным словарям уязвимостей(движков) перебирают <br>&gt; домены.<br>&gt; - часто проэксплуатировав дыру, на страницы сайта добавляется ява-скрипты, эксплуатирующие <br>&gt; дыры браузеров клиентов и/или проводящие атаки хсс и пр на пользователей. <br>&gt; поэтому как вариант - пройтись по сайтам и посмотреть - появились <br>&gt; ли в штмлях подгрузки непонятных яваскриптов или просто непонятный <br>&gt; - блокирование на фаерволе - устранение следствия, а не причины.<br>&gt; в общем: задача не тревиальная. + неизвестно были ли подняты привилегии. вдруг <br>&gt; у тебя веб-пользователь в листе судо. в общем, натупил ты, бро, <br>&gt; изначально не разграничив домены.<br><br>доменов 60+ а то и больше там, пользователей около 20, по логам искал адрес на кого идёт атака с меня, ничего не выдало по IP куда идёт атака.<br>tmp закрыт на исполнение скриптов<br>у пользователей нет привелегий никаких таких. Однозначно идёт атака через сайт, точнее через вир. домен на котором есть сайт с дырой. только https://www.opennet.ru/openforum/vsluhforumID1/93296.html#1 Wed, 25 Apr 2012 09:46:53 GMT хорошая практика отдельный пользователь на каждый домен. иначе получается ломанув один сайт страдают все.<br><br>еще лучшая практика - отдельный джайл под каждый домен.<br><br>по поводу текущей ситуации. нужно прикидывать глубину проникновения:<br>- работа по удп поддерживается самим приложением и эксплуатируется встроенный функционал. тогда для запуска необходим хттп запрос - смотреть логи - там должно быть. ( также, прямой поддержки udp на стороне приложения может не быть, а просто есть возможность выполнить eval блок ).<br>- есть дыра, позволяющая выполнить шелл-команду на сервере. тогда - все-равно смотреть логи хттп сервера, проверить дату изменения скриптов движков( часто при проникновении модифицируется исходный код, добавлением новой дыры ), посмотри папки, в которые разрешен доступ для записи на появление новых файлов( про /tmp не забудь ). проверь крон.<br>- часто дыры находят боты, которые по определенным словарям уязвимостей(движков) перебирают домены.<br>- часто проэксплуатировав дыру, на страницы сайта добавляе