форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"меня ломают :("
Сообщение от stricty on 01-Авг-03, 16:15  (MSK)
Одного нашего клиента обещал сломать какой-то бесячий чёрт с IP 62.65.235.154. Говорят, он ломал www.reversing.net (понятия не имею, но так говорят).  Уже второй день достаёт. Сломать-то нас с Филом он не сломает, но вот трафик-то не резиновый :((( Зафлудил просто запросами левыми с каких-то хостов, находящихся в разных концах мира. Всвязи с этим 2 вопроса: 1. Как бы от него отвязаться - задолбал. идей нет... настрою что угодно *:) 2. Как ему в башню дать? :-E  Как с такими поступают?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "меня ломают :("
Сообщение от ice_one1 on 01-Авг-03, 16:34  (MSK)
>1. Как бы от него отвязаться - задолбал. идей нет... настрою что угодно *:) Когда то была подобная ситуация пытались вскрыть сервер с одного и того же адреса, тогда мне добрый человек посоветовал послать письмо провайдерам того кто стучиться ко мне с требованием прекратить доступ ему к моему серверу, иначе я должен буду подать на них в суд за распространение спама и т.д. со ссылками на службу по борьбе со спамом, вирусами, и т.д. Ответ пришел в течении дня с извенениями и обещаниями что больше такого не повториться. Как рукой сняло! Больше он ко мне не ломился. >2. Как ему в башню дать? :-E  Как с такими поступают? А вот в башню это надо искать людей которые вскроют его :) И за умеренную плату они тебе помогут!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "меня ломают :("
	Сообщение от stricty on 01-Авг-03, 16:44  (MSK)
	>Ответ пришел в течении дня с извенениями и обещаниями что больше такого >не повториться. Как рукой сняло! Больше он ко мне не ломился. Да эстонец он... и не от себя ломится... :(((( >>2. Как ему в башню дать? :-E  Как с такими поступают? >А вот в башню это надо искать людей которые вскроют его :) >И за умеренную плату они тебе помогут! Знать бы кого - запасной барук всегда под щитом лежит *:)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "меня ломают :("
	Сообщение от akeeper on 05-Авг-03, 11:37  (MSK)
	В любом случае, когда речь заходит не о самой устойчивости, а о трафике - имеет смысл сотрудничать с провайдерами. Как вариант ты можешь попросить своего провайдера, чтобы он у себя зарезал коннекты к тебе с этого адреса (при условии, естественно, что адрес постоянный). wbr, akeeper.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "меня ломают :("
	Сообщение от stricty on 10-Авг-03, 13:15  (MSK)
	>В любом случае, когда речь заходит не о самой устойчивости, а о >трафике - имеет смысл сотрудничать с провайдерами. Как вариант ты можешь >попросить своего провайдера, чтобы он у себя зарезал коннекты к тебе >с этого адреса (при условии, естественно, что адрес постоянный). Так теперь за ним и бегать? *:(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "меня ломают :("
	Сообщение от Zorro on 11-Авг-03, 04:54  (MSK)
	>>В любом случае, когда речь заходит не о самой устойчивости, а о >>трафике - имеет смысл сотрудничать с провайдерами. Как вариант ты можешь >>попросить своего провайдера, чтобы он у себя зарезал коннекты к тебе >>с этого адреса (при условии, естественно, что адрес постоянный). > >Так теперь за ним и бегать? *:( А на чем у тя сервак?? ОС какая?? И какой Фаирвол стоит???? А если он постоянно с одного и тогоже адреса ломиться так тут вообще никаких проблем.. забань адрес и все.. и пусть в стену долбится пока башку не расшибёт.. ;-) С уважением  Zorro ...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "меня ломают :("
	Сообщение от stricty on 11-Авг-03, 10:38  (MSK)
	Да уж забанили сразу - они битыми пакетами засрал *:( FreeBSD-4.7-RELEASE, ipfw1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "меня ломают :("
	Сообщение от Zorro on 12-Авг-03, 03:02  (MSK)
	>Да уж забанили сразу - они битыми пакетами засрал *:( >FreeBSD-4.7-RELEASE, ipfw1 Тогда смотри дарки.... в фаирволе .. и настройке сервисов... у меня на серваке ттакая же версия фри и такаяже версия фаирвола.. я никаких проблем незнаю..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "меня ломают :("
	Сообщение от stricty on 15-Авг-03, 10:44  (MSK)
	>>Да уж забанили сразу - они битыми пакетами засрал *:( >>FreeBSD-4.7-RELEASE, ipfw1 >Тогда смотри дарки.... в фаирволе .. и настройке сервисов... у меня на >серваке ттакая же версия фри и такаяже версия фаирвола.. я никаких >проблем незнаю.. А ты фрагментированными пакетами с кривой фрагментацией себя побей... Тебе понравится.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "меня ломают :("
	Сообщение от Zorro on 16-Авг-03, 05:17  (MSK)
	>>>Да уж забанили сразу - они битыми пакетами засрал *:( >>>FreeBSD-4.7-RELEASE, ipfw1 >>Тогда смотри дарки.... в фаирволе .. и настройке сервисов... у меня на >>серваке ттакая же версия фри и такаяже версия фаирвола.. я никаких >>проблем незнаю.. > >А ты фрагментированными пакетами с кривой фрагментацией себя побей... Тебе понравится. В какой порт ???  :-)))))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "меня ломают :("
	Сообщение от stricty on 17-Авг-03, 12:21  (MSK)
	>>>>Да уж забанили сразу - они битыми пакетами засрал *:( >>>>FreeBSD-4.7-RELEASE, ipfw1 >>>Тогда смотри дарки.... в фаирволе .. и настройке сервисов... у меня на >>>серваке ттакая же версия фри и такаяже версия фаирвола.. я никаких >>>проблем незнаю.. >>А ты фрагментированными пакетами с кривой фрагментацией себя побей... Тебе понравится. > В какой порт ???  :-))))) Да в какой угодно. Меня били в 80, 443, 22, 23 - без разницы, они не доходят до разбора порта.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "меня ломают :("
	Сообщение от Zorro on 18-Авг-03, 03:51  (MSK)
	>>>>>Да уж забанили сразу - они битыми пакетами засрал *:( >>>>>FreeBSD-4.7-RELEASE, ipfw1 >>>>Тогда смотри дарки.... в фаирволе .. и настройке сервисов... у меня на >>>>серваке ттакая же версия фри и такаяже версия фаирвола.. я никаких >>>>проблем незнаю.. >>>А ты фрагментированными пакетами с кривой фрагментацией себя побей... Тебе понравится. >> В какой порт ???  :-))))) > >Да в какой угодно. Меня били в 80, 443, 22, 23 - >без разницы, они не доходят до разбора порта. Дык позакрывай все сервисы.. и порты.. остаь только канал.. на кой у тя открыты 443, 22, 23 ??? Ну 80 еще ладно и то  его тоже закрыть.. он не нужен.. оставляешь только один порт по которому у тебя канал идет.. У тебя же выделенка ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "меня ломают :("
	Сообщение от stricty on 18-Авг-03, 10:10  (MSK)
	>>>>>>Да уж забанили сразу - они битыми пакетами засрал *:( >>>>>>FreeBSD-4.7-RELEASE, ipfw1 >>>>>Тогда смотри дарки.... в фаирволе .. и настройке сервисов... у меня на >>>>>серваке ттакая же версия фри и такаяже версия фаирвола.. я никаких >>>>>проблем незнаю.. >>>>А ты фрагментированными пакетами с кривой фрагментацией себя побей... Тебе понравится. >>> В какой порт ???  :-))))) >>Да в какой угодно. Меня били в 80, 443, 22, 23 - >>без разницы, они не доходят до разбора порта. >Дык позакрывай все сервисы.. и порты.. остаь только канал.. на кой у >тя открыты 443, 22, 23 ??? Ну 80 еще ладно и >то  его тоже закрыть.. он не нужен.. оставляешь только один >порт по которому у тебя канал идет.. У тебя же выделенка? Ага, выделенка... М10 называется :)))) http://nemesida.ru Не могу яэти порты закрыть, а 23 и так был закрыт. Ты не понял - битые пакеты выкидывались ipfw еще до обработки как битые (ipfw add log как ни странно помог), поэтому ни в счётчиках, ни в каких правилах они никак не значились.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "меня ломают :("
	Сообщение от Zorro on 19-Авг-03, 02:11  (MSK)
	>Ты не понял - битые пакеты выкидывались ipfw еще до обработки как >битые (ipfw add log как ни странно помог), поэтому ни в >счётчиках, ни в каких правилах они никак не значились. Закрой полностью  ICMP .... что бы даже пинга небыло..... тогда  никто к тебе и ломиться не будет..... deny icmp any to any ... С уважением Zorro ...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "меня ломают :("
	Сообщение от pavel on 19-Авг-03, 06:47  (MSK)
	Сотрудничай с провайдерами,своим и его. И не смеши их пожалуйста просьбами чего-то зафильтровать...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "меня ломают :("
	Сообщение от stricty on 19-Авг-03, 11:46  (MSK)
	>Сотрудничай с провайдерами,своим и его. И не смеши их пожалуйста >просьбами чего-то зафильтровать... С корейцами так и посотрудничаешь... они мне не ответили. Николай Федотов на РТКомм, кстати, как раз и зафильтровал, сказав что больше ничего сделать нельзя... и посоветовал написать корейцам *:)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "меня ломают :("
	Сообщение от klim on 19-Авг-03, 09:00  (MSK)
	>>Ты не понял - битые пакеты выкидывались ipfw еще до обработки как >>битые (ipfw add log как ни странно помог), поэтому ни в >>счётчиках, ни в каких правилах они никак не значились. > >Закрой полностью  ICMP .... что бы даже пинга небыло..... тогда   >никто к тебе и ломиться не будет..... > >deny icmp any to any ... > >С уважением Zorro ... НУ icmp закрывать не стоит, а вот в фаерволе написать ipfw add 00010 deny icmp from any to any frag ipfw add 00020 deny ip from any to any frag не лишнее будет, я бы даже сказал что будет тебе счастье, а еще ставь snort.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "меня ломают :("
	Сообщение от stricty on 19-Авг-03, 11:48  (MSK)
	>НУ icmp закрывать не стоит, а вот в фаерволе написать >ipfw add 00010 deny icmp from any to any frag >ipfw add 00020 deny ip from any to any frag >не лишнее будет, я бы даже сказал что будет тебе счастье, а >еще ставь snort. Хм... попробую... а вторая строка ни на что не повлияет? для работы? Да, и что такое snort? man что? Спасибо *:)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "меня ломают :("
	Сообщение от stricty on 19-Авг-03, 11:44  (MSK)
	>>Ты не понял - битые пакеты выкидывались ipfw еще до обработки как >>битые (ipfw add log как ни странно помог), поэтому ни в >>счётчиках, ни в каких правилах они никак не значились. >Закрой полностью  ICMP .... что бы даже пинга небыло..... тогда   >никто к тебе и ломиться не будет..... >deny icmp any to any ... >С уважением Zorro ... Не прокатит. Ping нужен хотя бы для того, чтобы разбираться с провайдерами.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "меня ломают :("
	Сообщение от Fly Fox on 19-Авг-03, 13:38  (MSK)
	С Корейцами не знаю, а всетаки попробуй им еще одно грозное письмо (на английском) на катать и воды туда побольше что мол в соотвествии с законодательством и пр., у нас с Французами както прокатило., и еще говорят, мне тут рядом, неплохо бы какой нибудь умный анализатор атак(трафика) поставить который грамотно динамически что надо отрубает, фрагментированные пакеты например. Вот меня другой вопрос заинтересовал, официально кто нибудь (как это смешно не звучит) пробовал там В ФСБ обратиться, и какие после этого остаются впечетления, они же по идеи в отдели Р или как там его должны этим заниматься, если кто обращался напишите совсем ли глухо решать подобные проблемы так, или их такая мелочь вообще по барабану....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "меня ломают :("
	Сообщение от stricty on 19-Авг-03, 14:29  (MSK)
	Не, с ФСБ разговаривать - они лицензию и сертификат сразу проверяют. Да, и не Р, а К *:) Р - это по другой части. А блефануть... этим и живём *:)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "меня ломают :("
	Сообщение от Zorro on 20-Авг-03, 03:20  (MSK)
	>Не, с ФСБ разговаривать - они лицензию и сертификат сразу проверяют. Да, >и не Р, а К *:) Р - это по другой >части. >А блефануть... этим и живём *:) Ага вы еще президенту напишите... :-)))) Согласен пинг нужен.. ну что IPFW настроить низя и NAT ??? Так что бы никто не ломился... закрой сервисы.. и открой ложные..... что бы при сканировании показывало этим уродам чтонить.. они же идиоты на первый же сервис ломятся.. покажи им ложные.. пусть долбят... :-)))))) С уважением Zorro...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "меня ломают :("
	Сообщение от stricty on 20-Авг-03, 10:37  (MSK)
	>Согласен пинг нужен.. ну что IPFW настроить низя и NAT ??? Начинаем ещё раз - говорю же, не дохдит дело до правил ipfw - всё рубится на правиле "-1"... Надо как-то ловить такие вещи - на трафик подсадили сильно. >Так >что бы никто не ломился... закрой сервисы.. и открой ложные..... что >бы при сканировании показывало этим уродам чтонить.. они же идиоты на >первый же сервис ломятся.. покажи им ложные.. пусть долбят... :-)))))) Они ломятся в те сервисы, которые я собственно предоставляю... я не могу их закрыть...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "меня ломают :("
	Сообщение от Fly Fox on 20-Авг-03, 11:43  (MSK)
	Боюсь что мы в троем, в двух топах, одно и тоже друг другу говорим, повторюсь, правило -1 (трам пампам и пр. откидывание левока до ipfw)принемает ряд пакетов, в частности Фрагминтированные с ошибочными заголовком, откидывает их и в лог пишит что де приперся пакет и все, вот. -Давай- тут решим лучше не что делать а как ему в рог засадить, я всетаки предлагаю, более менее официально (хакерских войн с конкурентами хватает), например http://www.cert.org, вроди бы что-то делает... или есть еще какие методы?...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "меня ломают :("
	Сообщение от Zorro on 21-Авг-03, 07:22  (MSK)
	>-Давай- тут решим лучше не что делать а как ему в рог >засадить, я всетаки предлагаю, более менее официально (хакерских войн с конкурентами >хватает), например http://www.cert.org, вроди бы что-то делает... или есть еще какие >методы?... В рог говоришь.. ага.. поедим в корею.. найдем этого урода и дадим в рог.. А давайте его завалим.. дайте мне его айпи.. я попробую положить в даун его.. :-))) ... Будем ваевать.. мне на работе все равно заняться нечем.. :-))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	26. "меня ломают :("
	Сообщение от stricty on 21-Авг-03, 17:10  (MSK)
	>>-Давай- тут решим лучше не что делать а как ему в рог >>засадить, я всетаки предлагаю, более менее официально (хакерских войн с конкурентами >>хватает), например http://www.cert.org, вроди бы что-то делает... или есть еще какие >>методы?... >В рог говоришь.. ага.. поедим в корею.. найдем этого урода и дадим >в рог.. >А давайте его завалим.. дайте мне его айпи.. я попробую положить в >даун его.. >:-))) ... Будем ваевать.. мне на работе все равно заняться нечем.. :-)) Да нет IP его... действовал со сломанных машин по всем свету...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	32. "меня ломают :("
	Сообщение от Ldar on 25-Авг-03, 09:59  (MSK)
	>>>Ты не понял - битые пакеты выкидывались ipfw еще до обработки как >>>битые (ipfw add log как ни странно помог), поэтому ни в >>>счётчиках, ни в каких правилах они никак не значились. >>Закрой полностью  ICMP .... что бы даже пинга небыло..... тогда   >>никто к тебе и ломиться не будет..... >>deny icmp any to any ... >>С уважением Zorro ... > >Не прокатит. Ping нужен хотя бы для того, чтобы разбираться с провайдерами. > А нафига тебе разрешать icmp со всех адресов ? В край6 для провайдера откроешь с его адреса хождение icmp ;-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	33. "меня ломают :("
	Сообщение от VD on 25-Авг-03, 19:25  (MSK)
	>>>>Ты не понял - битые пакеты выкидывались ipfw еще до обработки как >>>>битые (ipfw add log как ни странно помог), поэтому ни в >>>>счётчиках, ни в каких правилах они никак не значились. >>>Закрой полностью  ICMP .... что бы даже пинга небыло..... тогда   >>>никто к тебе и ломиться не будет..... >>>deny icmp any to any ... >>>С уважением Zorro ... >> >>Не прокатит. Ping нужен хотя бы для того, чтобы разбираться с провайдерами. >> > > >А нафига тебе разрешать icmp со всех адресов ? В край6 для >провайдера откроешь с его адреса хождение icmp ;-) Открой icmp только для одного провайдерского хоста, и только для пакетов 0 и 8, пинг короче. И не для него, а для себя :))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	35. "меня ломают :("
	Сообщение от stricty on 26-Авг-03, 10:08  (MSK)
	>>Не прокатит. Ping нужен хотя бы для того, чтобы разбираться с провайдерами. >А нафига тебе разрешать icmp со всех адресов ? В край6 для >провайдера откроешь с его адреса хождение icmp ;-) Не катит. На вопрос клиента "у меня не работает" надо достаточно быстро понять, в каком месте у него проблема. Ping обычно сразу говорит - или у провайдера DNS кривой, или канал где лежит, или клиент просто не подключился к инету.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	36. "меня ломают :("
	Сообщение от VD on 26-Авг-03, 13:46  (MSK)
	>Не катит. На вопрос клиента "у меня не работает" надо достаточно быстро >понять, в каком месте у него проблема. Ping обычно сразу говорит >- или у провайдера DNS кривой, или канал где лежит, или >клиент просто не подключился к инету. Если мы говорим о шлюзе, то внутрь, естественно, без ограничений, а во вне - до нескольких ключевых хостов (которые для диагностики нужны). Ну и можно же по типам посылок фильтровать, туда-эхо запрос, оттуда-ответ. Но это вообще. В данном случае никакие локальные меры не помогут - даже если шлюз "ляжет", трафик будет идти.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "меня ломают :("
Сообщение от ram_scan on 21-Авг-03, 12:34  (MSK)
>Одного нашего клиента обещал сломать какой-то бесячий чёрт с IP 62.65.235.154. Говорят, >он ломал www.reversing.net (понятия не имею, но так говорят).   Не ломал он. Просто сайт в основном хостился на чьих-то личных сетках, за личные бабки. Сначала орел этот флудил на форуме, потом начал трафиком левым прессовать. Когда этот перец нафлудил более 100 гигов трафика за пару дней пришлось срочно менять хостинг, потому-что пров навстречу не пошел, фильтры ставить не стал под предлогом высокой нагрузки на магистральные маршрутизаторы и просто хост от сети отрезал. Пока искали новый хостинг - сервер лежал. Деятеля я этого знаю, с головой у него судя по всему не все в порядке. Мальчику кстати уже за сороковник годочков, а все развлекается. Причем не сам, похоже просит кого-то с кем дружит. wasm.ru кстати тоже от него пострадал... >Всвязи с этим 2 вопроса: >1. Как бы от него отвязаться - задолбал. идей нет... настрою что >угодно *:) Жалиться провайдеру. Онли. Чтобы сетки эти банил наглухо у себя. Сломать не сломает, дальше script kiddie он судя по всему не зашел, но вот на трафик попадешь запросто... >2. Как ему в башню дать? :-E  Как с такими поступают? Только ехать к нему ножками. С дрыном. Но больно далеко... Кстати, сюда он тоже может наведаться, а поскольку форум без регистрации он тут такого понаворотит...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "меня ломают :("
	Сообщение от stricty on 21-Авг-03, 17:23  (MSK)
	>>Одного нашего клиента обещал сломать какой-то бесячий чёрт с IP 62.65.235.154. Говорят, >>он ломал www.reversing.net (понятия не имею, но так говорят).   >Не ломал он. Просто сайт в основном хостился на чьих-то личных сетках, >за личные бабки. Сначала орел этот флудил на форуме, потом начал >трафиком левым прессовать. Когда этот перец нафлудил более 100 гигов трафика >за пару дней пришлось срочно менять хостинг, потому-что пров навстречу не >пошел, фильтры ставить не стал под предлогом высокой нагрузки на магистральные >маршрутизаторы и просто хост от сети отрезал. Пока искали новый хостинг >- сервер лежал. Деятеля я этого знаю, с головой у него >судя по всему не все в порядке. Мальчику кстати уже за >сороковник годочков, а все развлекается. Причем не сам, похоже просит кого-то >с кем дружит. Не, скорее всего просто распределённая атака со сломанных машин. > wasm.ru кстати тоже от него пострадал... Ага, ПетерХвостовый Фил говорил... >>Всвязи с этим 2 вопроса: >>1. Как бы от него отвязаться - задолбал. идей нет... настрою что >>угодно *:) >Жалиться провайдеру. Онли. Чтобы сетки эти банил наглухо у себя. Сломать не >сломает, дальше script kiddie он судя по всему не зашел, но >вот на трафик попадешь запросто... Так и есть ;( Но ведь он, гад, сервера меняет - машины ломает и поехал дальше гадить... >>2. Как ему в башню дать? :-E  Как с такими поступают? >Только ехать к нему ножками. С дрыном. Но больно далеко... Хм... Эстония по IP-то... ну чего, парни, кто на море загорать? *:)) >Кстати, сюда он тоже может наведаться, а поскольку форум без регистрации он >тут такого понаворотит... Здесь, боюсь, ему сразу в лоб отвешают по самое небалуйся... Народу много, могут и не полениться раскрутить всю цепочку...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	28. "меня ломают :("
	Сообщение от bromantik on 22-Авг-03, 09:13  (MSK)
	Я не понял, у него что так бесконечное число сломанных машинок? Увидел в логах Ip забанил и так все его сломанные тачки, у меня всегда лежит скриптик под название hooligans  куда я заношу всяческих уродов. Да и так никто и не сказал что такое снорт. Кстати есть еще и portsentry... Короче это такие моднявые програмки, которые сами анализируют коннекты вычленяя атаки и сами принимают меры... Снорт еще и конфигурируется очень гибко...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	29. "меня ломают :("
	Сообщение от stricty on 22-Авг-03, 10:59  (MSK)
	>Я не понял, у него что так бесконечное число сломанных машинок? А чего там - вон сколько лохов в инете... И большинство под мастдайками... >Увидел в логах Ip забанил и так все его сломанные тачки, у >меня всегда лежит скриптик под название hooligans  куда я заношу >всяческих уродов. Угу, так и живём... >Да и так никто и не сказал что такое снорт. Кстати есть >еще и portsentry... >Короче это такие моднявые програмки, которые сами анализируют коннекты вычленяя атаки и >сами принимают меры... Снорт еще и конфигурируется очень гибко... Имя, сударыня! Имя! (c) URL? :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	30. "меня ломают :("
	Сообщение от noxp on 23-Авг-03, 00:07  (MSK)
	как один из тех у которого хостился reversing.net могу немного прояснить ситуацию. чтобы не плодить различный побочный флуд. >Я не понял, у него что так бесконечное число сломанных машинок? >Увидел в логах Ip забанил и так все его сломанные тачки, у >меня всегда лежит скриптик под название hooligans  куда я заношу >всяческих уродов. методика работы некого антисоциального элемента (назовём его - артурик) заключается не во взломе сервера, а в повальном флуде. Из этого следует что локальный бан сетей с которых производится флуд не даст никакого экономического эфекта помимо разгрузки сервера потому что весь входящий трафик вне зависимости от того drop-ается он или reject-ится попадает под биллинг. Смысл имеет банить сети на уровне аплинка или ещё выше. По поводу кучи сломаных "машинок" могу предположить что помогают артурику некие старшие братья ибо квалификации кроме как писать трояны размером с msdn или гадить на форуме различными способами у него нету. >Да и так никто и не сказал что такое снорт. Кстати есть >еще и portsentry... Что касется снорта - да можно им детектировать атаки, фильтровать трафик автоматично совершать действия адекватно ситуации. глядеть снорт можно тут http://www.snort.org/
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	31. "меня ломают :("
	Сообщение от bug0r on 23-Авг-03, 19:29  (MSK)
	>>Я не понял, у него что так бесконечное число сломанных машинок? Скорее всего он сидит на вашей же магистрали и слушает ее с помощью SPAN ports на циске, в результате он видит любой пакет идущий по магистрали, тогда он генерит пакет с ложным ip, возможно даже предварительно пингует его, чтобы тот не отвечал. --> обмен трафиком. В результате всего вам приходят пакеты с разных подсетей, с разных адресов 90% которых не отвечает (не существует) >ибо квалификации кроме как писать трояны размером с msdn или гадить >на форуме различными способами у него нету. Способ ловли: 1. определить диапазон сетей откуда приходять пакеты. Если это корея (подразумевается любая сеть мира) значит артурик возможно сидит на магистрали ващего провайдера, а может и является вашим провайдером :-)) 2. если это фиксированный диапазон, значит он сидит на магистрали уровня вашего провайдера, т.е. трафик идет например через городской exchange. >Что касется снорта - да можно им детектировать атаки, фильтровать трафик автоматично >совершать действия адекватно ситуации. глядеть снорт можно тут http://www.snort.org/ SNORT - это хорошо. У нас был случай когда сканили подряд порты 1-9000 по порядку с разных сетей по всему миру, причем другого трафика не было (специально так сделали чтобы засечь), ни один адрес не ответил ни на пинг ни на nmap.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	34. "меня ломают :("
	Сообщение от stricty on 26-Авг-03, 10:04  (MSK)
	>Скорее всего он сидит на вашей же магистрали и слушает ее с >помощью SPAN ports на циске, в результате он видит любой пакет >идущий по магистрали, Вряд ли. Магистральный провайдер по просьбе закрыл это безобразие и не взял оплаты. Хотя... всё может быть...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	37. "меня ломают :("
	Сообщение от Alex on 29-Авг-03, 10:21  (MSK)
	Увидел случайно писать не хотел но такую демагогию резвели ....закрой то открой это ...да выключи свой сервак и всё и не парся. Ты бы для начала рассказал нам всем что у тебя крутится на нём какие опции в ядре прописаны какие в rc.conf а то сиди блин гадай чем помочь тебе. Snort  хорош но не советую т.к. временами ошибки находят в нём и если не разу не настраивал то можно облажаться в некоторых местах( при условии что настоить хочешь на скорую руку). Если действительно хочешь этого барана выцепить и дать пилюль то  смотришь с каких машин тебя  атакуют (наверняка хоть одна должна принадлежать какой либо конторе) дальше мылешь письмо админу и просишь выслать лог и разобраться итд. и так проделываешь с разными адресами. в итоге у тебя через какое то время соберётся инфа примерно откуда и с какого адреса. ну а дальше кидаешь все логи его прову. Еслу пров не врубится  валишь прова и шлёшь ему письмо ещё раз. Была примерная ситуация тока я знал адрес того барана сказал прову а те меня послали... после 2-го взлома прова и rm -rf на одном из серваком они приняли меры. Я придерживаюсь правил что если тебя бьют то дай сдачи. Удачи тебе..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	38. "меня ломают :("
	Сообщение от VD on 29-Авг-03, 11:45  (MSK)
	>Увидел случайно писать не хотел но такую демагогию резвели ....закрой то открой Не хотелось писать? Ну и не писал бы этот бред. Не превращай форум в помойку. >это ...да выключи свой сервак и всё и не парся. Ты >бы для начала рассказал нам всем что у тебя крутится на >нём какие опции в ядре прописаны >какие в rc.conf а то сиди блин гадай чем помочь тебе. Snort > хорош но не советую т.к. временами ошибки находят в нём >и если не разу не настраивал то можно облажаться в некоторых >местах( при условии что настоить хочешь на скорую руку). Причём тут ядро, rc.conf, snort и т.д.??? Да хоть вообще от сети сервер отключи, флуд не прекратится, опытный ты наш. И провайдеру ты за него заплатишь. >Если действительно хочешь этого барана выцепить и дать пилюль то  смотришь >с каких машин тебя  атакуют (наверняка хоть одна должна принадлежать >какой либо конторе) дальше мылешь письмо админу и просишь выслать лог Ага. Прям сразу же вышлет. >и разобраться итд. и так проделываешь с разными адресами. в итоге >у тебя через какое то время соберётся инфа примерно откуда и Примерно откуда? Оттуда. Не точнее. >с какого адреса. ну а дальше кидаешь все логи его прову. > >Еслу пров не врубится  валишь прова и шлёшь ему письмо ещё >раз. >Была примерная ситуация тока я знал адрес того барана сказал прову а >те меня послали... Я бы тебя с такими повадками тоже послал. >после 2-го взлома прова и rm -rf на >одном из серваком они приняли меры. >Я придерживаюсь правил что если тебя бьют то дай сдачи. И какая разница между тобой и тем "бараном"? Никакой. P.S. А читать посты надо внимательнее, МИЛАЯ...:))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.