Как прочесть лог сервера и вычислить атаку?..
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Как прочесть лог сервера и вычислить атаку?.. - 2007-07-20 14:34:18.040000
|
|
|
C_4
Сообщений: 46
Оценки: 0
Присоединился: 2007-07-20 13:53:35.103333
|
Люди, тапками не кидайтесь плз, да, я ламер, но похоже пришла пора исправляться, и прошу у вас помощи. Я являюсь администратором на сайте, домен .ru, на нём есть форум движка phpBB. Администратором я там была только в том смысле, что шугала флудеров, тёрла ненужные топики и вывешивала новости. И вот где-то с месяц назад завелась у нас на форуме такая хрень: какой-то п***рас залезает в базу форума и постепенно один за другим удаляет оттуда аккаунты уважаемых пользователей. И вот в один далеко не прекрасный день, а именно вчера, хороший человек врчил мне ссылку на архив с логами сервера за несколько дней и сказал: определи, пожалуйста, тип атаки и ip взломщика. Мне никогда раньше не приходилось работать с логами серверов, и я не особенно себе представляю, что надо делать, но энтузиазма и желания поймать этого козла хоть отбавляй. Собственно, только одна просьба: дайте плз ссылку на какой-нить мануал, где доступно изложено, как читать лог сервера и т.п. FAQ читала - того, что мне было нужно, не нашла. На запросы в Рамблере находятся в основном предложения приобрести программу для чтения логов. И вообще, реально человеку не особенно сведущему в этом разобраться?.. З.Ы. пожалуйста, без комментариев на тему моего пола… как видите, у баб тоже возникает необходимость читать логи… о_О
|
|
|
RE: Как прочесть лог сервера и вычислить атаку?.. - 2007-07-20 15:01:21
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
Ты уверена, что кто-то банально не стырил твой пароль и не удаляет юзеров из-под твоего аккаунта? Если скажем юзер удаляется со страницы администратора, это делается определённым запросом, на определённую страничку, скажем deluser.php. Вот и просмотри все ip, с которых туда заходили. Если поиск не даст результатов, можна влоб: 1. Идёшь сюда: http://www.securitylab.ru/search/index.php?q=phpbb&where=iblock_vulnerability 2. Ищешь вероятный способ атаки, если не в курсе, придётся проверить всё 3. В каждом описании ищешь характерные куски запросов, например 'UNION SELECT и т.п. 4. шерстишь логи на предмет присутствия запросов из п. 3 Насчёт чем просматривать выбирай сама, мне было бы удобнее всего прямо в линуксе grep'ом.
|
|
|
RE: Как прочесть лог сервера и вычислить атаку?.. - 2007-07-20 15:56:04.930000
|
|
|
cataha01
Сообщений: 121
Оценки: 0
Присоединился: 2006-03-12 02:04:21
|
C_4 здесь посмотри Ещё мог залить шел тогда дела обстоят хуже . или через сайт если таковой имееться . А вобще ссылку на форум или хотябы версию форума тогда может чё конкретние скажем !…
|
|
|
RE: Как прочесть лог сервера и вычислить атаку?.. - 2007-07-20 16:25:38.766666
|
|
|
C_4
Сообщений: 46
Оценки: 0
Присоединился: 2007-07-20 13:53:35.103333
|
Спасибо за советы! Про пароль надо будет проверить, не исключаю такой возможности. а вот линукса у меня пока что нет( quote:
А вобще ссылку на форум или хотябы версию форума тогда может чё конкретние скажем !… phpBB, Version 2.1 by Nuke Cops © 2003
|
|
|
RE: Как прочесть лог сервера и вычислить атаку?.. - 2007-07-23 17:53:39.763333
|
|
|
C_4
Сообщений: 46
Оценки: 0
Присоединился: 2007-07-20 13:53:35.103333
|
Народ! Лог я прочла, ничего особенно-вопиющего не обнаружила, запросов на удаление аккаунта или чего-то подобного. единственное удивило: незнакомый айпишник, не поисковик, запрашивает подряд очень много гифов и жэпэгешек типа картинок, которые рисуют рядом с темами и т.п. это к чему может быть? о_О
|
|
|
RE: Как прочесть лог сервера и вычислить атаку?.. - 2007-07-23 18:20:32.373333
|
|
|
cataha01
Сообщений: 121
Оценки: 0
Присоединился: 2006-03-12 02:04:21
|
хм а в личку не приходило сообщений типа почему мой аватор не грузиться и ссылка типа 123.narod.ru/1.jpg небыло такова ? Мож тупа сниф подвесили …. с гифами это я вно не пароль тащит а тупа какойто глюк или хз ну или тупай дос атака типа канал забить но всё эт тупо както !….
|
|
|
RE: Как прочесть лог сервера и вычислить атаку?.. - 2007-07-23 18:26:15.160000
|
|
|
C_4
Сообщений: 46
Оценки: 0
Присоединился: 2007-07-20 13:53:35.103333
|
cataha01 не, такого точно не было… о_О а чё такое сниф? (тапками не кидать) и ещё, пробейте плз, кому не трудно, чё там, у меня, правда, есть подозрение, что это вирус, не знаю, как проверить. но вряд ли он чё-то сделает персональному компу, если рассчитан на взлом форумской админки. сама просмотреть не могу, ибо фильтру сцуке не нравится имя сайта, а как снять не знаю=((( http://www.glorialsexo.com/images/f22.txt
|
|
|
RE: Как прочесть лог сервера и вычислить атаку?.. - 2007-07-23 18:35:03.323333
|
|
|
Samid
Сообщений: 926
Оценки: 0
Присоединился: 2004-06-02 04:21:11
|
Не помешало бы движек форума обновить до последней версии, если этого еще не сделано, удалить все небезопасные хаки, если они есть, и поменять пароли админов. До мускула есть много способов добраться, я однажды по тихой прикололся, помому что админ залил в общедоступную папку phpmyadmin, и не запаролил его. Дедай что хочешь…
|
|
|
RE: Как прочесть лог сервера и вычислить атаку?.. - 2007-07-23 18:46:48.783333
|
|
|
cataha01
Сообщений: 121
Оценки: 0
Присоединился: 2006-03-12 02:04:21
|
Если у тебя вирь то проверь загрузку в реестре и тд антивири там разные ….. Снифер эт понятие растежимое вобще он может перехватывать твои пороли в сетки или сокеты если через хсс засунуть ……. Сходи на Ачат там есть тема про проверку форумов вот попроси тебе всё скажут или есть исходники скрипта сам(а) можеш проверить….
|
|
|
RE: Как прочесть лог сервера и вычислить атаку?.. - 2007-07-23 19:47:36.596666
|
|
|
C_4
Сообщений: 46
Оценки: 0
Присоединился: 2007-07-20 13:53:35.103333
|
Всё, спасибо всем, аккаунт, с которого хакер заходил и тёр пароли, вычислен. Дыру закрыли (нет, не я, другой админ=)) Щас мне ещё надо разобраться, тёр ли аккаунты тот чел, чья это была админка, или нет. Но это уже задачка больше детективно-социальная) Всем спасибо!
|
|
|
|
|