Исходящая DDOS атака. Откуда?

Тема в разделе "Администрирование серверов", создана пользователем AndrewDK, 28 июл 2010.

Статус темы:
Закрыта.
Модераторы: mefish, stooper
  1. AndrewDK

    AndrewDK

    Регистр.:
    8 фев 2009
    Сообщения:
    247
    Симпатии:
    57
    С сайта идет исходящая ДДОС атака.
    Как найти откуда идет и как нейтрализовать?
    Стоит ISPmanager.

    Хостер заблочил акк. В данный момент разблокировал, но если не найду неисправность заблочат навсегда.
     
  2. despainer

    despainer

    Регистр.:
    15 фев 2008
    Сообщения:
    615
    Симпатии:
    168
    netstat в помощь.....
    man netstat
    исходящая ддос? ДДос с вашего сайта? :)


    краткий аглоритм действий!

    1. Ставим и собираем библиотеку libastral.so
    2. Смотрим список процессов и находим тот процесс который отправляет данные (можно поиграцца запретом функций.
    3. Мочим его и его потомков отправкой команды killall -9 имя проыесса (подброобнее man killall)
    4. Удаляем вредителя
     
    AndrewDK нравится это.
  3. strij

    strij Постоялец

    Регистр.:
    31 дек 2006
    Сообщения:
    53
    Симпатии:
    12
    Т.е. вы атакуете другой сайт? Как хостер это определил? Если так, то скорее всего сайт взломали и поставили где-то shell, через который и идет странный трафик.
     
  4. lionspb

    lionspb Писатель

    Регистр.:
    19 май 2010
    Сообщения:
    4
    Симпатии:
    0
    Было такое. Достаточно быстро нашел - в php скрипт клиента был внедрен хитрый код который в свою очередь на некоторое время запускал perl скрипт с DDOS.

    Борьба:
    1. как уже сказано выше netstat, еще можно top понаблюдать какой юзер хавает много cpu и RAM, внимательно смотреть на все perl скрипты.
    2. после удаления,!!!Обязательно!!!
    а. проверить комп клиента на трояны,вирусы итд,
    b. сменить юзеру пароль, ибо есть вероятность что у
    последнего сперли ftp пароль и после удаления сайт будет взломан опять.
    с. проверить содержимое каталогов пользователей антивирусом.
     
  5. justelectro

    justelectro Создатель

    Регистр.:
    27 апр 2010
    Сообщения:
    18
    Симпатии:
    0
    Скачайте дампи вашего сайта себе на комп и поставте сервер на локалкохсе для теста.
     
  6. Akcium

    Akcium

    Регистр.:
    11 июн 2007
    Сообщения:
    448
    Симпатии:
    230
    ну для атаки достаточно ява скрипта в шаблоне, тут конечно смотреть надо...
     
  7. justelectro

    justelectro Создатель

    Регистр.:
    27 апр 2010
    Сообщения:
    18
    Симпатии:
    0
    Тут может быть несколько вариантов, один из которых это то, что у вас сторонний код в шаблоне, либо в самом двиге, а может и вообще в одном из ваших модулей ... Одним словом ставьте только скрипты\модули с проверенных источников .
     
  8. serega2s

    serega2s Создатель

    Регистр.:
    15 авг 2006
    Сообщения:
    38
    Симпатии:
    20
    Как уже говорили либо установили двиг с бекдором.
    Либо сайт взломали, что более вероятно.
    У меня тоже такое было.
    Там расклад такой был.
    Хакер взламывал сайт с посещаемостью 1000+ и просто вставлял iframe на все взломанные сайты, это iframe бомбил какой-то забугорный сайт.


    Что делать:
    ну если есть возможность, то снести все нафиг, и поставить другой движок, в смысле новее, если есть конечно.

    Или копаться и искать все запрятанные веб шелы. И копаться в коде искать все пакости что паразит наделал, но найти все почти нереально.
    обращай внимение на faq.php и т.д.
    А кого все вычистишь, то обновлсять движок.
    В общем очень неприятное попадалово.
     
Статус темы:
Закрыта.