Текущее время: 28 мар 2024 16:33

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 51 ]  На страницу 1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: 10 мар 2012 21:42 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1605
Откуда: Москва резиновая
Как я вижу, тут на форуме до сих пор не потеряла свою актуальность тема о недавней серии падений сайта, и некоторые даже задавались вопросом о том, не войдёт ли такое поведение сайта в систему.

В связи с этим я решил немного прояснить техническую сторону этого дела, поскольку я не только в этом понимаю (теперь), но и непосредственно занимался обнаружением и устранением дыры, через которую хакеры заходили на наш сервер как к себе домой.

Кроме того я объясню причину появления дыры.

Итак.

Начинку этого сайта сделали очень давно, и долго никто этим не занимался, и как эта начинка устроена, все давно забыли. Не так давно хозяева сайта решили сменить хостинг по неизвестной мне совокупности причин. Фокус заключается в том, что перенос сайта осуществлялся совсем не теми людьми, которые сайт делали, и эти люди в кодах особо не разбирались, а тупо выполнили физический перенос сайта, как их просили. Владельцы сайта не настолько разбираются в веб-технологиях, что бы знать о тонкостях настройки безопасности веб-сервера.

В результате получилось как в старой русской поговорке, которая гласит, что у семи нянек дитя без глазу. Все вместе пропустили тот момент, что сайт сделан по старым технологиям с использованием старых методов передачи данных между программными модулями.

Для того, что бы обнаружить в интернете сайты с такими методами передачи данных, достаточно дать любому поисковому серверу соответствующий запрос. После этого остаётся только проверить, включены ли на данном сервере настройки, с помощью которых можно взломать этот сайт. Какие-то хакеры, действующие через прокси-сервера (прокси скрывают адрес атакующего) влезли на сайт, и использовали часть места на сайте dalnoboi.ru для хранения своих файлов. Файлов было несколько тысяч.

Никто бы ничего не заметил, если бы эти же или какие-то другие хакеры не повесили бы на главной странице сайта и на страницы форума вируса, который был многими замечен.

Когда вирус был замечен, владельцы сайта обратились за помощью к техподдержке masterhost.ru. Техподдерка неоднократно отрапортовала об удалении вируса (и получила за это деньги), но хакеры ходили сюда как к себе домой и вешали вируса обратно.

После этого владельцы сайта обратились ко мне. Я никогда раньше с вирусами на сайтах не боролся, и дыры на сайтах не искал, но я быстро обучаюсь и человек ответственный. Сперва я удалил вируса так же, как это делала служба техподдержки masterhost.ru. Этого хватило не на долго. Потом я пробовал поиграть с правами доступа к файлам и папкам, этого хватило часов на двенадцать. Потом я был занят кучей другой работы.

Потом я слегка разобрался с программным обеспечением сайта и сделал программку, которая автоматически удаляла вируса, как только он появлялся. Этого хватило на сутки. После этого сайт подвергся массированной атаке, которую я мог наблюдать воочию, видя, как на сайте появляются новые файлы, и портятся старые. Благодаря тому, что мне удалось пронаблюдать саму атаку, я смог понять, какие программные модули использовали хакеры для взлома.

После массированной атаки сайт рухнул, и мне пришлось повесить сообщения о том, что сайт временно недоступен по техническим причинам.

После этого, когда ко мне пришёл лог (запись всех обращений к сайту, в masterhost этот файл доставляется раз в сутки в 00 часов по Москве), я смог в точности посмотреть метод взлома сайта, то есть я нашёл дыру, через которую эти козлы ходили на сайт как к себе домой.

Что бы дыру заткнуть, надо было сделать одно из двух: либо изменить настройки сервера, либо переделать часть программных модулей, а их там 720 штук. Надо было ещё найти, какие из них переделать.

Естественно, что я послал заявку в masterhost, что бы они изменили настройки. Это было в районе 2-ух часов ночи седьмого марта. Заявку техподдержка masterhost выполнила только в районе двух часов дня, когда я был занят другой работой. В ночь с седьмого на восьмое я сайт и форум восстановил (хакеры повредили некоторые файлы, которые надо было ещё найти). Имевшаяся на сайте резервная копия также содержала файлы, добавленные туда хакерами. В общем, пришлось всё чистить.

Утром восьмого я и внешний вид форума вернул к тому виду, который у него был изначально.

Резюме: дыра заткнута, сайт падать больше не будет. Вирусы на нём появляться тоже не должны.

Сайт, правда, иногда был недоступен вместе со всем masterhost.ru. Это бывает. К сожалению. Я сейчас изучаю программную начинку сайта, что бы его слегка переделать и положить на другой хост. Обо всех перерывах в работе, связанных с моей деятельностью, я буду сообщать заранее. Один перерыв будет на несколько часов. Но это скорее всего через неделю - через две. Зато после этого стабильность работы сайта повысится.

Всем привет. ДимаН.


Последний раз редактировалось DimaNProg 11 мар 2012 16:59, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 мар 2012 21:45 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 31 дек 2009 18:18
Сообщения: 4701
Откуда: Казань
Не важно как и почему это происходит, задача систем Админа не допускать этого! А как он это будет делать, дело десятое.

_________________
большинство происходящее поддерживает! на кого жалуетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 мар 2012 21:54 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1605
Откуда: Москва резиновая
Сисадмина не было. Собственно, он и не был нужен, пока сайт не перенесли на masterhost.

И кстати, после переработки сайта сисадмин опять перестанет быть нужен. Если вещь сделана хорошо, она не требует постоянного ремонта.

_________________
Сила - в правде.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 мар 2012 22:03 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 31 дек 2009 18:18
Сообщения: 4701
Откуда: Казань
Хорошо?
Попробует вставить цитату на этом сайте :)

_________________
большинство происходящее поддерживает! на кого жалуетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 мар 2012 22:09 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1605
Откуда: Москва резиновая
Дмитрий 116 писал(а):
Хорошо?
Попробует вставить цитату на этом сайте :)


Цитата.

Впрочем, форум никто переделывать и не собирается, он стандартный, скачанный с интернета и обновляемый. Только внешний вид наш.

Менять его никто не будет, слишком большая база данных.

Переделке подвергнется только устаревшая часть самого сайта, которая потенциально имеет кучу дыр.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 мар 2012 22:12 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 31 дек 2009 18:18
Сообщения: 4701
Откуда: Казань
Жаль что не собирается, не мешало бы

_________________
большинство происходящее поддерживает! на кого жалуетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 09:40 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1605
Откуда: Москва резиновая
Ну, если найдётся спонсор, готовый выложить с пол-миллиона рублей за разработку уникального форума специально для Дальнобоя, в котором будет ещё больше возможностей, чем в том, что есть, да что бы перенести в новый форум все темы, разговоры, и аватары без потерь, то можно и форум переделать :).

_________________
Сила - в правде.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 09:50 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1605
Откуда: Москва резиновая
Впрочем есть ещё одна возможность: обратиться к разработчикам этого форума (это здесь: http://www.phpbb.com/), и попросить добавить в него те возможности, которых вам не хватает. Они, правда, могут отказаться это делать, либо сделают, но когда у них до этого руки дойдут. То есть неизвестно, когда.

_________________
Сила - в правде.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 17:38 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 31 дек 2009 18:18
Сообщения: 4701
Откуда: Казань
Необязательно сохранять, можно просто начать с чистого листа, а существующую переписку сохранить для желающих почитать.

Разработать или точнее сказать немного доработать будет стоить 500т.р.?
Немного сомневаюсь, я такие цены видел только на тендерах гос услуг :)

_________________
большинство происходящее поддерживает! на кого жалуетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 20:21 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1605
Откуда: Москва резиновая
:lol:

Доработать - это к этим ребятам, которые этот форум разрабатывают. Ссылочку видели? Они этот форум разрабатывали несколько лет, это уже десятая версия с копейками. Если его дорабатывать, то обновления уже невозможны, поскольку это будет совсем другое ответвление. Можно, конечно и доработать, но дорабатывать чужие коды иногда даже труднее, чем написать свои с нуля, поскольку надо очень хорошо разобраться во всём, что там есть. А там, к слову сказать, 270 программных модулей с общим объёмом более 6-ти мегабайт чужого кода.

Вы никогда не пробовали сделать из поезда самолёт? Ну или параход? Дык вот переработка чужих кодов иногда похожа на это занятие. В общем это не быстро и не дёшево. Иногда кажется, что это фигня, а когда начинаешь разбираться, то оказывается, что для того, что бы какую-то казалось-бы фигню сделать, надо переделать такую кучу кода (там одно за другое цепляется), что и делать не захочешь.

В общем, если хотите доработать, то к этим ребятам. Они разрабатывали, они могут и добавить что-то. Им это не сложно, им в чужих кодах не копаться, они это всё уже знают.

А если делать с нуля... То минимальная зарплата неплохого программиста в Москве 50 тыр. На разработку такого форума с нуля уйдёт несколько человеко-месяцев, думаю, что десяти хватит. Исходя из этого 500 тыр не такие большие деньги.

ЗЫ: И то не факт, кстати, что с нуля хватит десяти человеко-месяцев. Если этот форум имеет объём кода 6 мегабайт, то это примерно на 6 человеко-лет. Если делать форум не хуже этого, а лучше, то может и больше получиться.


Последний раз редактировалось DimaNProg 11 мар 2012 20:33, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 20:25 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 31 дек 2009 18:18
Сообщения: 4701
Откуда: Казань
Я пробовал писать на этом и других форумах, сравнение не пользу дальнобой-форум

_________________
большинство происходящее поддерживает! на кого жалуетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 20:36 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1605
Откуда: Москва резиновая
Как я уже говорил, перевод форума с одних программных модулей на другие крайне затруднён и сейчас этого никто делать не будет.

_________________
Сила - в правде.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 21:12 
Не в сети
абориген
Аватара пользователя

Зарегистрирован: 16 окт 2011 22:45
Сообщения: 432
Откуда: Питер Стрельна
Откуда: Бывший ник Базилио
DimaNProg писал(а):
вируса, который был многими замечен.

Многими не то слово. Я знаю лично двоих, кто после этого бардака переставлял систему - мой сосед и племянник.
Ещё было подмечено, что вирусы сыпались на протяжении НЕДЕЛЬ!
Эту тонкость заметили тоже многие, особенно те, у кого машины просто заткнулись.
Не замечали масштабов катастрофы только админы. Или замечали?
DimaNProg писал(а):
В связи с этим я решил немного прояснить техническую сторону дела, поскольку я в этом понимаю

DimaNProg- я плохонький программист, но неплохой электронщик.
Скажите, а была ли у админов возможность нажать кнопку "выкл"? Просто физически выключить сайт до полного решения проблемы?
Или для этого тоже нужно привлекать платных специалистов? :?

_________________
У России есть только два союзника, её армия и флот! Александр III


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 21:34 
Не в сети
Системный администратор
Аватара пользователя

Зарегистрирован: 28 фев 2012 11:52
Сообщения: 1605
Откуда: Москва резиновая
Баzилио писал(а):
DimaNProg- я плохонький программист, но неплохой электронщик.
Скажите, а была ли у админов возможность нажать кнопку "выкл"? Просто физически выключить сайт до полного решения проблемы?
Или для этого тоже нужно привлекать платных специалистов? :?


Кнопочку "выкл" нажать тоже надо уметь. Её нажал я, когда обнаружил, что сайтом управляет кто-то снаружи. Поэтому на нём почти сутки висело сообщение о том, что сайт недоступен по техническим причинам.

Дело в том, что сперва мы думали, что у нас украли пароли, и воткнули в сайт программу, которая вируса периодически восстанавливала. А найти такую программу в более чем 700-ах программных модулях очень трудно. Поэтому мы поменяли все пароли и я сделал программу, которая удаляла вируса, когда он появлялся. Я об этом написал.

Если бы у них был уже готовый специалист, который знает, как ломают сайты, то он мог бы сделать то, что сделал я, за один день. Но такого специалиста не было. Да и вообще, ребята с такой проблемой столкнулись впервые. Они наделали ошибок, но надо сказать, что они на этих ошибках учатся. И я теперь тоже научился сайты защищать. То я только из обычных компьютеров вирусов вычищал, а теперь умею и на сайтах дыры затыкать. И владельцам сайта теперь есть куда обратиться, если что.

Админы-то сайта сперва думали, что их техподдержка спасёт, и заплатили техподдержке немало денег за спасение. А те не справились.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 22:11 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 25 окт 2008 15:17
Сообщения: 9438
Откуда: Челябинск
Откуда: Поселок АМЗ
Род занятий: Водитель
Юра , при всем уважении , категорически не согласен . Все это время заходил на сайт , каждый раз чистил комп после этого . Такова МОЯ пацанская воля (с) . Если бы администрация мотивировала МНИМОЕ бездействие , ну к примеру , потерей материальной выгоды ( ХЗ прерывался какой нибудь рекламный проект )- ну тогда все основания послать их предложением слов в десять и призывать почтенную публику поменять пароли и явки .
Я с вами-группа товарищей- не согласен . Имею Мнение Хрен Оспорите .
Я вот постнекст люблю , и всякие другие сайты с веселыми картинками , постоянно атакуем бываю . А что делать ? (с) Зубов бояться-в рот не давать (с) И Нех.у.й лазить , где стреляют (с) .
Общения с забанеными ( кроме типа дармовоза - те на личную встречу не подпишутся ) мне тоже очень сильно не хватает .... Но об этом надо было бы в соседней теме .

_________________
Бросая мусор в окно машины, выбрасываешь удачу !Пусть лучше надо мной смеются ,чем плачут ...


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 22:15 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 08 дек 2011 08:07
Сообщения: 1886
Откуда: Томск
Цитата:
Админы-то сайта сперва думали, что их техподдержка спасёт, и заплатили техподдержке немало денег за спасение. А те не справились.

все как в жизни))))
Едешь на сервис,думаешь починять там твою коняжку,а когда приходишь забирать,счет офигенный,и коняжка как хромала,так и хромает))))
Потом ищешь по знакомым спеца,тот все за пару дней делает,причем по человеческим ценам и на совесть)))
А иногда,когда уже надежды ни на кого нет,лезешь сам,и методом тыка ищешь и исправляешь)

_________________
*Я где то,кажется,почти,хотя и еле-еле,в каком то смысле на пути,возможно даже к цели*


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 22:49 
Не в сети
абориген
Аватара пользователя

Зарегистрирован: 16 окт 2011 22:45
Сообщения: 432
Откуда: Питер Стрельна
Откуда: Бывший ник Базилио
Коль, что разбушевался-то? Здесь вроде как "о технической стороне хакерских атак" ?
Понятное дело, тебе всё равно после чего отмываться, раз постоянно в каке лазаешь.
А мне вот не всё равно, почему и я и сотни других после посещения нашего любимого сайта
должны заниматься тем же самым чем и ты после "весёлых картинок".
А что делать? Я свой х.. не на помойке нашел, чтобы в грязные рты его засовывать... :?
Извиняюсь за OFF :roll:

DimaNProg писал(а):
Кнопочку "выкл" нажать тоже надо уметь. Её нажал я, когда обнаружил, что сайтом управляет кто-то снаружи. Поэтому на нём почти сутки висело сообщение о том, что сайт недоступен по техническим причинам.

DimaNProg, это было завершением "марлезонского балета". И спасибо вам что это всё таки произошло...
произошло после нескольких недель!!
В общем всё достаточно ясно.

_________________
У России есть только два союзника, её армия и флот! Александр III


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 22:55 
В сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 14 окт 2006 00:49
Сообщения: 13496
Откуда: Рождён в Жигулёвске
Откуда: Щазз Донецк Ростовская обл
Род занятий: Водитель
Баzилио писал(а):
Я знаю лично двоих, кто после этого бардака переставлял систему - мой сосед и племянник.

Прибавь меня в сей список

_________________
живи Україна

Per rectum ad astrum!
Да захлебнётся в крови тот, кто усомнится в нашем миролюбии, ведь милосердие наше беспощадно

"Быть подлецом и в то же время не хотеть сознавать этого - страшная особенность русского негодяя!" А.П.ЧЕХОВ


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 23:03 
Не в сети
Экс-дальнобой
Аватара пользователя

Зарегистрирован: 20 июн 2006 11:00
Сообщения: 5792
Откуда: Оттуда... КОРЕННОЙ МОСКВИЧ
Юр! Я не бог весть какой "кампутерщик", но... Установить "антивирь" нормальный и проги чистящие - дело "святое". Ну а операционку переставить, эт вааще дело плёвое. Просто время надо - это да. Чего с этого хай-то поднимать? Тем более, что когда видишь, какая идёт "ругань вирусная", то только ты можешь принять решение - ходить на данный ресурс или нет. Честно говоря, лично у меня проблемы были только в том, что сайт медленно грузился (по понятным причинам) и был затруднён перехода со страницы на страницу. ВСЁ! Я вполне допускаю, что далеко не все владеют элемертарными навыками пользования и безопасностью компов. Но. Это же надо знать! Ведь никто не садится (идиёты не в счёт) за руль машины, не зная элементарных правил - вождения. Ведь учатся же! Так что, давай не будем...
И ещё. О "технической стороне". Вопросик у меня к тебе есть "маленький". И что же это за спецы такие (о которых Дима - "Велотракер" писал), что аж всё "просканировали" - узнали" - "постановили"? Каким это таким способом? Да ещё и на чужом сайте, не зная "исходников"? Поясни пажалс-ста, если сможешь - "неразумным". Честно говоря, на объективный ответ не рассчитываю. Если он (ответ) вообще будет...

_________________
Каждому своё...
Изображение


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 мар 2012 23:11 
Не в сети
*АБОРИГЕН-долгожитель*
Аватара пользователя

Зарегистрирован: 08 дек 2011 08:07
Сообщения: 1886
Откуда: Томск
кстати к знатоку.
Тож вирус зацепил.Сначало винлокер был,но я его вроде как нетрализовал.Но вот какие то хвосты остались в автозапуске системы.Доктор Вэб их нейтрализует,не дает им работать,но постоянно вылавливает его и помещает в карантин.Пробовал всяким прогами чистить,не помогает.
Раньше стояла ХР,я ее знал хорошо,и знал куда залезть и этих червяков выковаривать,а щас стоит Винда семерка максимум,пока въехать не могу что тут и как.
Может посоветуете чем вылечить.Уже и касперовскими прогами пробовал,не помогает Доктор вэб пишет : Панда 547 вирус.
Антивирь новый,лицензионный,обновляет раз в сутки.
Вроде система работает,но как то напрягает по нескольку раз в день смотреть на сообщения что что в компе вирус,хоть и заблокированный

_________________
*Я где то,кажется,почти,хотя и еле-еле,в каком то смысле на пути,возможно даже к цели*


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 51 ]  На страницу 1, 2, 3  След.


Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  


Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
^ Наверх