Текущее время: 21 окт 2018 15:48

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 51 ]  На страницу 1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: 10 мар 2012 21:42 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1039
Откуда: Москва резиновая
Как я вижу, тут на форуме до сих пор не потеряла свою актуальность тема о недавней серии падений сайта, и некоторые даже задавались вопросом о том, не войдёт ли такое поведение сайта в систему.

В связи с этим я решил немного прояснить техническую сторону этого дела, поскольку я не только в этом понимаю (теперь), но и непосредственно занимался обнаружением и устранением дыры, через которую хакеры заходили на наш сервер как к себе домой.

Кроме того я объясню причину появления дыры.

Итак.

Начинку этого сайта сделали очень давно, и долго никто этим не занимался, и как эта начинка устроена, все давно забыли. Не так давно хозяева сайта решили сменить хостинг по неизвестной мне совокупности причин. Фокус заключается в том, что перенос сайта осуществлялся совсем не теми людьми, которые сайт делали, и эти люди в кодах особо не разбирались, а тупо выполнили физический перенос сайта, как их просили. Владельцы сайта не настолько разбираются в веб-технологиях, что бы знать о тонкостях настройки безопасности веб-сервера.

В результате получилось как в старой русской поговорке, которая гласит, что у семи нянек дитя без глазу. Все вместе пропустили тот момент, что сайт сделан по старым технологиям с использованием старых методов передачи данных между программными модулями.

Для того, что бы обнаружить в интернете сайты с такими методами передачи данных, достаточно дать любому поисковому серверу соответствующий запрос. После этого остаётся только проверить, включены ли на данном сервере настройки, с помощью которых можно взломать этот сайт. Какие-то хакеры, действующие через прокси-сервера (прокси скрывают адрес атакующего) влезли на сайт, и использовали часть места на сайте dalnoboi.ru для хранения своих файлов. Файлов было несколько тысяч.

Никто бы ничего не заметил, если бы эти же или какие-то другие хакеры не повесили бы на главной странице сайта и на страницы форума вируса, который был многими замечен.

Когда вирус был замечен, владельцы сайта обратились за помощью к техподдержке masterhost.ru. Техподдерка неоднократно отрапортовала об удалении вируса (и получила за это деньги), но хакеры ходили сюда как к себе домой и вешали вируса обратно.

После этого владельцы сайта обратились ко мне. Я никогда раньше с вирусами на сайтах не боролся, и дыры на сайтах не искал, но я быстро обучаюсь и человек ответственный. Сперва я удалил вируса так же, как это делала служба техподдержки masterhost.ru. Этого хватило не на долго. Потом я пробовал поиграть с правами доступа к файлам и папкам, этого хватило часов на двенадцать. Потом я был занят кучей другой работы.

Потом я слегка разобрался с программным обеспечением сайта и сделал программку, которая автоматически удаляла вируса, как только он появлялся. Этого хватило на сутки. После этого сайт подвергся массированной атаке, которую я мог наблюдать воочию, видя, как на сайте появляются новые файлы, и портятся старые. Благодаря тому, что мне удалось пронаблюдать саму атаку, я смог понять, какие программные модули использовали хакеры для взлома.

После массированной атаки сайт рухнул, и мне пришлось повесить сообщения о том, что сайт временно недоступен по техническим причинам.

После этого, когда ко мне пришёл лог (запись всех обращений к сайту, в masterhost этот файл доставляется раз в сутки в 00 часов по Москве), я смог в точности посмотреть метод взлома сайта, то есть я нашёл дыру, через которую эти козлы ходили на сайт как к себе домой.

Что бы дыру заткнуть, надо было сделать одно из двух: либо изменить настройки сервера, либо переделать часть программных модулей, а их там 720 штук. Надо было ещё найти, какие из них переделать.

Естественно, что я послал заявку в masterhost, что бы они изменили настройки. Это было в районе 2-ух часов ночи седьмого марта. Заявку техподдержка masterhost выполнила только в районе двух часов дня, когда я был занят другой работой. В ночь с седьмого на восьмое я сайт и форум восстановил (хакеры повредили некоторые файлы, которые надо было ещё найти). Имевшаяся на сайте резервная копия также содержала файлы, добавленные туда хакерами. В общем, пришлось всё чистить.

Утром восьмого я и внешний вид форума вернул к тому виду, который у него был изначально.

Резюме: дыра заткнута, сайт падать больше не будет. Вирусы на нём появляться тоже не должны.

Сайт, правда, иногда был недоступен вместе со всем masterhost.ru. Это бывает. К сожалению. Я сейчас изучаю программную начинку сайта, что бы его слегка переделать и положить на другой хост. Обо всех перерывах в работе, связанных с моей деятельностью, я буду сообщать заранее. Один перерыв будет на несколько часов. Но это скорее всего через неделю - через две. Зато после этого стабильность работы сайта повысится.

Всем привет. ДимаН.


Последний раз редактировалось DimaNProg 11 мар 2012 16:59, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 мар 2012 21:45 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 31 дек 2009 18:18
Сообщения: 4701
Откуда: Казань
Не важно как и почему это происходит, задача систем Админа не допускать этого! А как он это будет делать, дело десятое.

_________________
большинство происходящее поддерживает! на кого жалуетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 мар 2012 21:54 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1039
Откуда: Москва резиновая
Сисадмина не было. Собственно, он и не был нужен, пока сайт не перенесли на masterhost.

И кстати, после переработки сайта сисадмин опять перестанет быть нужен. Если вещь сделана хорошо, она не требует постоянного ремонта.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 мар 2012 22:03 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 31 дек 2009 18:18
Сообщения: 4701
Откуда: Казань
Хорошо?
Попробует вставить цитату на этом сайте :)

_________________
большинство происходящее поддерживает! на кого жалуетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 мар 2012 22:09 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1039
Откуда: Москва резиновая
Дмитрий 116 писал(а):
Хорошо?
Попробует вставить цитату на этом сайте :)


Цитата.

Впрочем, форум никто переделывать и не собирается, он стандартный, скачанный с интернета и обновляемый. Только внешний вид наш.

Менять его никто не будет, слишком большая база данных.

Переделке подвергнется только устаревшая часть самого сайта, которая потенциально имеет кучу дыр.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 мар 2012 22:12 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 31 дек 2009 18:18
Сообщения: 4701
Откуда: Казань
Жаль что не собирается, не мешало бы

_________________
большинство происходящее поддерживает! на кого жалуетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 09:40 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1039
Откуда: Москва резиновая
Ну, если найдётся спонсор, готовый выложить с пол-миллиона рублей за разработку уникального форума специально для Дальнобоя, в котором будет ещё больше возможностей, чем в том, что есть, да что бы перенести в новый форум все темы, разговоры, и аватары без потерь, то можно и форум переделать :).


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 09:50 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1039
Откуда: Москва резиновая
Впрочем есть ещё одна возможность: обратиться к разработчикам этого форума (это здесь: http://www.phpbb.com/), и попросить добавить в него те возможности, которых вам не хватает. Они, правда, могут отказаться это делать, либо сделают, но когда у них до этого руки дойдут. То есть неизвестно, когда.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 17:38 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 31 дек 2009 18:18
Сообщения: 4701
Откуда: Казань
Необязательно сохранять, можно просто начать с чистого листа, а существующую переписку сохранить для желающих почитать.

Разработать или точнее сказать немного доработать будет стоить 500т.р.?
Немного сомневаюсь, я такие цены видел только на тендерах гос услуг :)

_________________
большинство происходящее поддерживает! на кого жалуетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 20:21 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1039
Откуда: Москва резиновая
:lol:

Доработать - это к этим ребятам, которые этот форум разрабатывают. Ссылочку видели? Они этот форум разрабатывали несколько лет, это уже десятая версия с копейками. Если его дорабатывать, то обновления уже невозможны, поскольку это будет совсем другое ответвление. Можно, конечно и доработать, но дорабатывать чужие коды иногда даже труднее, чем написать свои с нуля, поскольку надо очень хорошо разобраться во всём, что там есть. А там, к слову сказать, 270 программных модулей с общим объёмом более 6-ти мегабайт чужого кода.

Вы никогда не пробовали сделать из поезда самолёт? Ну или параход? Дык вот переработка чужих кодов иногда похожа на это занятие. В общем это не быстро и не дёшево. Иногда кажется, что это фигня, а когда начинаешь разбираться, то оказывается, что для того, что бы какую-то казалось-бы фигню сделать, надо переделать такую кучу кода (там одно за другое цепляется), что и делать не захочешь.

В общем, если хотите доработать, то к этим ребятам. Они разрабатывали, они могут и добавить что-то. Им это не сложно, им в чужих кодах не копаться, они это всё уже знают.

А если делать с нуля... То минимальная зарплата неплохого программиста в Москве 50 тыр. На разработку такого форума с нуля уйдёт несколько человеко-месяцев, думаю, что десяти хватит. Исходя из этого 500 тыр не такие большие деньги.

ЗЫ: И то не факт, кстати, что с нуля хватит десяти человеко-месяцев. Если этот форум имеет объём кода 6 мегабайт, то это примерно на 6 человеко-лет. Если делать форум не хуже этого, а лучше, то может и больше получиться.


Последний раз редактировалось DimaNProg 11 мар 2012 20:33, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 20:25 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 31 дек 2009 18:18
Сообщения: 4701
Откуда: Казань
Я пробовал писать на этом и других форумах, сравнение не пользу дальнобой-форум

_________________
большинство происходящее поддерживает! на кого жалуетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 20:36 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1039
Откуда: Москва резиновая
Как я уже говорил, перевод форума с одних программных модулей на другие крайне затруднён и сейчас этого никто делать не будет.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 21:12 
Не в сети
абориген
Аватара пользователя

Зарегистрирован: 16 окт 2011 22:45
Сообщения: 424
Откуда: Питер Стрельна
Откуда: Бывший ник Базилио
DimaNProg писал(а):
вируса, который был многими замечен.

Многими не то слово. Я знаю лично двоих, кто после этого бардака переставлял систему - мой сосед и племянник.
Ещё было подмечено, что вирусы сыпались на протяжении НЕДЕЛЬ!
Эту тонкость заметили тоже многие, особенно те, у кого машины просто заткнулись.
Не замечали масштабов катастрофы только админы. Или замечали?
DimaNProg писал(а):
В связи с этим я решил немного прояснить техническую сторону дела, поскольку я в этом понимаю

DimaNProg- я плохонький программист, но неплохой электронщик.
Скажите, а была ли у админов возможность нажать кнопку "выкл"? Просто физически выключить сайт до полного решения проблемы?
Или для этого тоже нужно привлекать платных специалистов? :?

_________________
У России есть только два союзника, её армия и флот! Александр III


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 21:34 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1039
Откуда: Москва резиновая
Баzилио писал(а):
DimaNProg- я плохонький программист, но неплохой электронщик.
Скажите, а была ли у админов возможность нажать кнопку "выкл"? Просто физически выключить сайт до полного решения проблемы?
Или для этого тоже нужно привлекать платных специалистов? :?


Кнопочку "выкл" нажать тоже надо уметь. Её нажал я, когда обнаружил, что сайтом управляет кто-то снаружи. Поэтому на нём почти сутки висело сообщение о том, что сайт недоступен по техническим причинам.

Дело в том, что сперва мы думали, что у нас украли пароли, и воткнули в сайт программу, которая вируса периодически восстанавливала. А найти такую программу в более чем 700-ах программных модулях очень трудно. Поэтому мы поменяли все пароли и я сделал программу, которая удаляла вируса, когда он появлялся. Я об этом написал.

Если бы у них был уже готовый специалист, который знает, как ломают сайты, то он мог бы сделать то, что сделал я, за один день. Но такого специалиста не было. Да и вообще, ребята с такой проблемой столкнулись впервые. Они наделали ошибок, но надо сказать, что они на этих ошибках учатся. И я теперь тоже научился сайты защищать. То я только из обычных компьютеров вирусов вычищал, а теперь умею и на сайтах дыры затыкать. И владельцам сайта теперь есть куда обратиться, если что.

Админы-то сайта сперва думали, что их техподдержка спасёт, и заплатили техподдержке немало денег за спасение. А те не справились.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 22:11 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 25 окт 2008 15:17
Сообщения: 8616
Откуда: Челябинск
Откуда: Поселок АМЗ
Род занятий: Водитель
Юра , при всем уважении , категорически не согласен . Все это время заходил на сайт , каждый раз чистил комп после этого . Такова МОЯ пацанская воля (с) . Если бы администрация мотивировала МНИМОЕ бездействие , ну к примеру , потерей материальной выгоды ( ХЗ прерывался какой нибудь рекламный проект )- ну тогда все основания послать их предложением слов в десять и призывать почтенную публику поменять пароли и явки .
Я с вами-группа товарищей- не согласен . Имею Мнение Хрен Оспорите .
Я вот постнекст люблю , и всякие другие сайты с веселыми картинками , постоянно атакуем бываю . А что делать ? (с) Зубов бояться-в рот не давать (с) И Нех.у.й лазить , где стреляют (с) .
Общения с забанеными ( кроме типа дармовоза - те на личную встречу не подпишутся ) мне тоже очень сильно не хватает .... Но об этом надо было бы в соседней теме .

_________________
Бросая мусор в окно машины, выбрасываешь удачу !Пусть лучше надо мной смеются ,чем плачут ...


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 22:15 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 08 дек 2011 08:07
Сообщения: 1886
Откуда: Томск
Цитата:
Админы-то сайта сперва думали, что их техподдержка спасёт, и заплатили техподдержке немало денег за спасение. А те не справились.

все как в жизни))))
Едешь на сервис,думаешь починять там твою коняжку,а когда приходишь забирать,счет офигенный,и коняжка как хромала,так и хромает))))
Потом ищешь по знакомым спеца,тот все за пару дней делает,причем по человеческим ценам и на совесть)))
А иногда,когда уже надежды ни на кого нет,лезешь сам,и методом тыка ищешь и исправляешь)

_________________
*Я где то,кажется,почти,хотя и еле-еле,в каком то смысле на пути,возможно даже к цели*


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 22:49 
Не в сети
абориген
Аватара пользователя

Зарегистрирован: 16 окт 2011 22:45
Сообщения: 424
Откуда: Питер Стрельна
Откуда: Бывший ник Базилио
Коль, что разбушевался-то? Здесь вроде как "о технической стороне хакерских атак" ?
Понятное дело, тебе всё равно после чего отмываться, раз постоянно в каке лазаешь.
А мне вот не всё равно, почему и я и сотни других после посещения нашего любимого сайта
должны заниматься тем же самым чем и ты после "весёлых картинок".
А что делать? Я свой х.. не на помойке нашел, чтобы в грязные рты его засовывать... :?
Извиняюсь за OFF :roll:

DimaNProg писал(а):
Кнопочку "выкл" нажать тоже надо уметь. Её нажал я, когда обнаружил, что сайтом управляет кто-то снаружи. Поэтому на нём почти сутки висело сообщение о том, что сайт недоступен по техническим причинам.

DimaNProg, это было завершением "марлезонского балета". И спасибо вам что это всё таки произошло...
произошло после нескольких недель!!
В общем всё достаточно ясно.

_________________
У России есть только два союзника, её армия и флот! Александр III


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 22:55 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 14 окт 2006 00:49
Сообщения: 8554
Откуда: Рождён в Жигулёвске
Откуда: Щазз Донецк Ростовская обл
Род занятий: Водитель
Баzилио писал(а):
Я знаю лично двоих, кто после этого бардака переставлял систему - мой сосед и племянник.

Прибавь меня в сей список

_________________
Айсберг НАШ!!!! кричали пассажиры ТИТАНИКА
вы держитесь там,просто денег нет
Нормальному русскому мужику смайлики не нужны. Для выражения эмоций ему хватает матюгов
910четыре три 49три2четыре, 960724ноль32девять
Per rectum ad astrum!


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 23:03 
Не в сети
Экс-дальнобой
Аватара пользователя

Зарегистрирован: 20 июн 2006 11:00
Сообщения: 5792
Откуда: Оттуда... КОРЕННОЙ МОСКВИЧ
Юр! Я не бог весть какой "кампутерщик", но... Установить "антивирь" нормальный и проги чистящие - дело "святое". Ну а операционку переставить, эт вааще дело плёвое. Просто время надо - это да. Чего с этого хай-то поднимать? Тем более, что когда видишь, какая идёт "ругань вирусная", то только ты можешь принять решение - ходить на данный ресурс или нет. Честно говоря, лично у меня проблемы были только в том, что сайт медленно грузился (по понятным причинам) и был затруднён перехода со страницы на страницу. ВСЁ! Я вполне допускаю, что далеко не все владеют элемертарными навыками пользования и безопасностью компов. Но. Это же надо знать! Ведь никто не садится (идиёты не в счёт) за руль машины, не зная элементарных правил - вождения. Ведь учатся же! Так что, давай не будем...
И ещё. О "технической стороне". Вопросик у меня к тебе есть "маленький". И что же это за спецы такие (о которых Дима - "Велотракер" писал), что аж всё "просканировали" - узнали" - "постановили"? Каким это таким способом? Да ещё и на чужом сайте, не зная "исходников"? Поясни пажалс-ста, если сможешь - "неразумным". Честно говоря, на объективный ответ не рассчитываю. Если он (ответ) вообще будет...

_________________
Каждому своё...
Изображение


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 23:11 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 08 дек 2011 08:07
Сообщения: 1886
Откуда: Томск
кстати к знатоку.
Тож вирус зацепил.Сначало винлокер был,но я его вроде как нетрализовал.Но вот какие то хвосты остались в автозапуске системы.Доктор Вэб их нейтрализует,не дает им работать,но постоянно вылавливает его и помещает в карантин.Пробовал всяким прогами чистить,не помогает.
Раньше стояла ХР,я ее знал хорошо,и знал куда залезть и этих червяков выковаривать,а щас стоит Винда семерка максимум,пока въехать не могу что тут и как.
Может посоветуете чем вылечить.Уже и касперовскими прогами пробовал,не помогает Доктор вэб пишет : Панда 547 вирус.
Антивирь новый,лицензионный,обновляет раз в сутки.
Вроде система работает,но как то напрягает по нескольку раз в день смотреть на сообщения что что в компе вирус,хоть и заблокированный

_________________
*Я где то,кажется,почти,хотя и еле-еле,в каком то смысле на пути,возможно даже к цели*


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 51 ]  На страницу 1, 2, 3  След.


Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  


Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
^ Наверх