Чего-то с сайтом bsprint.ru не так. Imho deface

[ER]

Замечено 12/06/2006 11:00

[Cterra]

форум хоть остался

[BSmega]

да уж. не весело. вроде востановил.

[Cterra]

Вот, нашел в сети инфу.

На текущий момент несколько сетевых блогов находятся под атакой и некоторые из них недоступны. В связи с этим прискорбным событием хотелось бы немного описать, что это такое и почему так сложно с этим бороться (так как у большинства из вас наверняка есть свой хотя бы маленький сайтик).
Вообще завалить сервер с сайтом можно разными способами. Некоторые из них:
1. Самое простое - подсмотреть, заснифить, скопировать, подобрать пароль администратора бэкофиса системы и войдя в систему наломать дров.
Решается конечно прежде всего грамотным распределением ролей в системе, создании логов всех действий плюс применение ssl при коннекте к админке. Помогает наличие бэкапа
2. То-же самое с паролем на фтп.
Так как пароль фтп в общем случае передается в открытом виде, и его легко отловить, желательно использовать sftp, если позволеяет сервер. В ином случае следует вообще как можно реже заходить на фтп, загружая все данные через админку, просматривать иногда IP адреса логинов на фтп и менять пароль хотя-бы раз в 3 месяца.
3. Просканировать все порты на сервере программами для поиска уязвимостей. Есть ряд программ (Languard, XSpider и т.д.) позволяющие быстро установить какие версии программ стоят на сервере. Многие такие сканеры сами показывают список возможных уязвимостей для конкретных версий. Дело за малым
Решается грамотным администрированием сервера и апдейтом всего и вся как можно чаще. Вы сами всегда можете проверить свой сайт на наличие проблем. Во многом проблема может быть решена грамотной конфигурацией файервола (запрещающего соединения с чужих IP или на нестандартные порты)
4. Перебрать все скрипты на сайте. На большинстве применяются всем однотипные форумы, гостевые книги или чаты. У каждой из них есть свой набор уязвимостей, позволяющих так или иначе пробраться на сервер. Также у PHP, perl и asp программистов есть типичный набор ошибок при написании скриптов, позволяющие делать инъекции враждебного кода в базу данных или выполнить системную команду.
Решение: все скрипты на сайте должны быть проверены грамотным программистом на предмет ошибок и желательно чтобы на сервере с PHP был включен safe mode.
5. Если не удается сломать сайт через скрипты атакующий ищет все сайты, находящиеся на данном сервере и пытается через них получить доступ к управлению сервером. Под юниксом главный пользователь имеет обычно имя root (в переводе корень), который имеет доступ ко всем данным на сервере. Если удается запустить свой скрипт от имени этого пользователя в системе, то ничем хорошим это не кончится Также есть вариант не взлома а просто создание такого запроса к скрипту, который вызовет 100% загрузку сервера и как результат - общее замедление или остановку.
Решение: если у вас серьезный проект, то желательно иметь свой выделенный сервер, чтобы не зависеть от настроек и подвисаний соседних сайтов. Если у ваш сайт находится на стандартном, т.н. shared хостинге, то советую вам посмотреть отзывы людей в интернете об этом провайдере, насколько хороши его админы.
6. Атаки на смежные сервисы. Если сервер хорошо защищен, то можно либо сломать любой маршрутизатор, сетевое устройство на пути (часто админы там просто оставляют пароль по умолчанию либо завалить сервера, ответственные за DNS.
Здесь все зависит от вашего провайдера и вашего к нему доверия
7. Перехват доменного имени. Для доменов com, net, org например недавно вступили новые правила. Если на домен не выставлен флаг Registrar-Lock, то любой запрос на перевод домена к другому регистратору будет выполнен. И вот уже домен не ваш
Решение сами понимаете какое. Вовремя оплачивать продление, следить за всеми письмами об изменении статуса домена и выставление флага Registrar-Lock для иностранных доменов. Также учтите что любой домен 3-го уровня легко может быть у вас отобран вашим провадером.
8. Организация спам рассылки с указанием имени атакуемого сайта. После чего IP сервера может быть внесен в блек листы и возникают проблемы при пересылки почты. Также придется доказывать вашему провайдеру, что вы не при чем.
Сам метод дает дополнительных посетителей сайту, так что применяется достаточно редко. Лечится временем.
9. DOS (Denial of Service - отказ в доступе) атаки. Бывают разных типов. Основная цель - таким образом сформировать поток запросов к серверу, чтобы он был загружен на 100% и не смог отвечать на обыкновенные запросы. Может быть вызвана большим потоком трафика с различными запросами либо нестандартно сформированными пакетами, создающими переполнение буферов сетевых устройств (трафик минимален) либо просто частыми запросами на соединение ( в этом случае атакующий обрывает запрос и шлет новый, а сервер ждет ответа какое-то время и для каждого запроса создает новый процесс)
Какие бывают решения. Если атака идет с одного компьютера, то достаточно заблокировать запросы от его IP на уровне маршрутизатора (даже не все провайдеры могут это), на уровне файервола (например ipfw под юниксом) или если идет массовые запросы по http, то запретить доступ к сайту можно создав файл .htaccess в корне сайта и прописав там запрет доступа c определенных IP. Блокируя все и все не стоит забывать, что многие большие компании и провайдеры выходят через один или всего несколько IP адресов и вы можете случайно заблокировать даже себя.
В общем случае есть утилиты типа Snort (вкупе со SnortSam), позволяющие анализировать атаки и блокировать автоматом на уровне файрвола большинство видов атак такого типа. Но, к сожалению, после запуска подобного комплекса вы увидите, что практически большинство крупных провайдеров будут заблокированы и к вам посыпятся жалобы о недоступности сервера из разных мест, так как любопытных хакеров развелось море и ума для этого практически не требуется.
Лучшим решением является аппаратный файервол, предназначенный для решения именно этих проблем. Учтите, что атакующий обычно проверяет, насколько удалась атака и если просмотреть логи, то можно увидеть либо пинг либо частые заходы на веб сервер с одного IP адреса.
10. DDoS-атака (Distributed Denial of Service Attack - распределенная DOS). Разница заключается в том, что на ваш сервер запросы сыпятся с огромного количества IP адресов, причем учитывая что нестандартные запросы можно легко заблокировать на уровне файервола, обычно используется обычный web зарос на 80 порт. Такой поток может быть создан различными способами.
Самый простой - опубликовать ссылку на сайт на популярном ресурсе типа nnm. Далеко не каждый сервер может выдержать поток в 55000 уникальных пользователей в день. Нехорошие люди также могут просто взять картинку с вашего сайта и поместить внутри своего популярного.
Решение. С таким наплывом можно бороться отрезая всех посетителей с определенным реферером.
Также есть вариант использовать уязвимость самого протокола TCP/IP. Можно сформировать пакеты таким образом, что IP отправителя пакета будет любым. Даже может совпадать с IP вашего сервера. Т.е. заблокировать такой поток проблематично.
Для достижения победы придется вычислить по маршруту потока откуда он происходит и заблокировать его источник. След дает лишь объем трафика. Бороться без помощи провайдеров невозможно.
Самый страшный вид DDOS атак - когда они управляются из одного центра и создаются посредством тех или иных программ. Яркий случай из недавнего прошлого - скринсейвер, распространяемый компанией Yahoo. После запуска его на компьютерах по всему миру эта программа начинала слать запросы на сайты, обвиняемые Yahoo, как спамерские. В результате те пролежали более недели, пока Yahoo не прекратила атаку. Сейчас компания уже отказалась от подобной неэтичной практики, но этим методом пользуется гораздо большее количество людей, объявивших войну своим недругам.
В настоящее время для таких атак чаще всего используются вирусы, и, в основном, трояны. После того, как очередной вирус захватывает большое число машин ( может доходить до сотен тысяч) организатор атаки получает в свое управление практически все их ресурсы. Буквально одной командой он заставляет огромное количество броузеров со всего мира обращаться на ваш сайт. В этом случае заблокировать атаку в принципе не возможно, так как сама атака неотличима от обычного запроса любого пользователя. Этот же механизм используется для рассылки спама.
Решения. Все зависит от качества атакующего потока. Если он не очень большой (до ~5000 атакующих машин, то с ним можно бороться, как с DOS атакой путем повышения скорости обработки запросов. Достигается путем установки различных кэширующих прокси (apache-proxy, thttpd, зеровейт и т.д.), ограничения кол-ва запросов от одного IP (libmilter, апаратные файерволы и т.п.) и общего ускорения системы (увеличение лимитов в настройках юникса, уменьшение таймаутов, прекомпиляция PHP). Если вирус распространился внутри какой-то одной страны, то можно попытаться закрыть определенные группы IP адресов или заблокировать некоторые маршруты поступления трафика.
В моей практике приходилось наблюдать атаки скоростью в 300мбит в секунду и выше в течении достаточно долгого времени. Для борьбы с такой атакой приходится ставить столько серверов, сколько способно обработать все приходящие запросы. Но тогда уже не выдерживают каналы и маршрутизаторы. Если вы знаете другие способы решения проблемы, опишите их пожалуйста в комментах.

[TTT]

Хм, и ты думаешь, многие из этого чего-то поняли? Я половину не понял, но для сисадмина распечатал.

[Cterra]

чтобы понять вкусна ли солянка, совсем не обязательно уметь её готовить

[Konstantyn™]

м-да, не слабо написал, особенно понравилась атака на скорости 300 мб,/сек, прямо представил себе как ты завис над проводом - по которому 300 мб летели --- тишина, все в напряжении, в углу комнаты нервно покуривает сисадмин, и тут шепот - "началось", все бросились к компам, началась война там то ты и получил свой первый шрам

одним словом, романтика, вот были времена то )))))))))))))))))))))))))))))))))))))))))))

[ALEXsei_]

хорошая статейка ! спасибо !

[Павел1981]

Цитата:

Сообщение от Konstantyn

м-да, не слабо написал, особенно понравилась атака на скорости 300 мб,/сек, прямо представил себе как ты завис над проводом - по которому 300 мб летели --- тишина, все в напряжении, в углу комнаты нервно покуривает сисадмин, и тут шепот - "началось", все бросились к компам, началась война там то ты и получил свой первый шрам

одним словом, романтика, вот были времена то )))))))))))))))))))))))))))))))))))))))))))

Вещь!