Собсно чиста академический интерес.

железо.
операционка
http сервер
database
плюшки за ради ускорения работы

... и пиковое значение запросов в секунду ))

Собсно чиста академический интерес.

железо.
операционка
http сервер
database
плюшки за ради ускорения работы

... и пиковое значение запросов в секунду ))
Это стратегическая, конфиденциальная информация. :)
Не ждите ответа.

Собсно чиста академический интерес.

Пытаетесь чисто академически разобраться в случившемся падении базы, которую так и не удалось до конца восстановить?
:0010:

А посмотреть леригия не позволяет? :)

Apache/2.2.14 (Ubuntu)

Софт vBulletin, скорее всего, прилично переписанный, а может и нет, конечно. База на 99% - мускуль, иначе переписывать слишком много... Наверняка, живет на отдельной машине, или, скорее кластере.

Наверняка, живет на отдельной машине, или, скорее кластере.

тогда почему не восстановили?

Это стратегическая, конфиденциальная информация. :)
Не ждите ответа.

между попробовать спросить и не попробовать спросить, лежит пропасть )

тогда почему не восстановили?

Нуу, по 101й причине :) Номер один - выходные, админ тоже человек.

Пытаетесь чисто академически разобраться в случившемся падении базы, которую так и не удалось до конца восстановить?
:0010:

да не, по долгу службы досталось сервера для интернет магазина обслуживать, интересно как и на чем делают большие проекты. у нас используется IIS 7.5 + ASP и я считаю что так низзя ) но аргументов пока нет.

А почему нет? Если есть грамотный спец по виндам (я таких пока не встречал в природе, но где-то же должны быть, наверное), то и IIS с дотнетом или там апс будет хорош. Другое дело, что найти того, кто настроит apache+php+mysql на какой-нить там бубунте - проще и дешевле в сто раз :)

Собсно чиста академический интерес.

железо.
операционка
http сервер
database
плюшки за ради ускорения работы

... и пиковое значение запросов в секунду ))

Мне бы кто объяснил зачем бэкапы еженощные ...
Я бы лучше абонентскую плату вносил (ну рублей 50 в месяц), но чтобы без них.

Я единственное время когда могу заглянуть - с 3.00 до 04.00 утра ...

А посмотреть леригия не позволяет? :)

Apache/2.2.14 (Ubuntu)

Софт vBulletin, скорее всего, прилично переписанный, а может и нет, конечно. База на 99% - мускуль, иначе переписывать слишком много... Наверняка, живет на отдельной машине, или, скорее кластере.


давно хотел спросить- посмотреть-забывал, вспомнил-написал-флажек в голове появился и то только под вечер вспомнил, о чем спрашивал )

на момент написания был в дали от нетбука, а помимо ab -n 1 -c 1 -v 3 и тд как то и не знаю что смотреть.

по идее через телнет на 80 порт можно послать запрос
GET / HTTP/1.0
Host: forum.littleone.ru
User-Agent: ApacheBench/2.3
Accept: */*

но такое в голове надолго не удержать )
можно через wireshark посмотреть - но его обратно надо устанавливать.
как еще можно посмотреть?

тогда почему не восстановили?
таки от логического сбоя кластер не спасет, не правильно думаю?

Именно так, телнетом на 80й порт. Только там стандартные вещи все прихвачены, и выдают кучу кода, поэтому наша задача - поставить сервер в тупик. Скажем:



bash-2.05a$ telnet forum.littleone.ru 80
Trying 80.93.48.158...
Connected to forum.littleone.ru.
Escape character is '^]'.
GET / HTTP/1.2

HTTP/1.1 400 Bad Request
Date: Sat, 06 Nov 2010 21:11:18 GMT
Server: Apache/2.2.14 (Ubuntu)
Content-Length: 310
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
<hr>
<address>Apache/2.2.14 (Ubuntu) Server at forum.littleone.ru Port 80</address>
</body></html>
Connection closed by foreign host.


А почему в голове не удержать? :) Когда это твоя работа, то и не такое держишь...

Именно так, телнетом на 80й порт. Только там стандартные вещи все прихвачены, и выдают кучу кода, поэтому наша задача - поставить сервер в тупик. Скажем:



А почему в голове не удержать? :) Когда это твоя работа, то и не такое держишь...

таки моя работа в основном - инфраструктура, железки-сеть. сервисы типа web - это только как пользователь.

ЗЫ.

Видимо от сервера зависит, что отдавать на не правильный запрос
Вот делаю get http/1.3 к одному из серверов на работе, из ответа ясно, что работает на windows но не более

Escape character is '^]'.
get http/1.3
HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Sat, 06 Nov 2010 21:46:10 GMT
Connection: close
Content-Length: 324

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>Bad Request</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
<BODY><h2>Bad Request - Invalid URL</h2>
<hr><p>HTTP Error 400. The request URL is invalid.</p>
</BODY></HTML>
Connection closed by foreign host.


вот делаю "нормальный" запрос, возвращает инфы побольше.

GET / HTTP/1.0
Host: zzzzzz.ru
User-Agent: ApacheBench/2.3
Accept: */*


---
LOG: header received:
HTTP/1.1 200 OK
Cache-Control: max-age=2592000
Content-Type: text/html
Last-Modified: Thu, 22 Apr 2010 14:36:43 GMT
Accept-Ranges: bytes
ETag: "9635663a29e2ca1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Sat, 06 Nov 2010 21:48:32 GMT
Connection: close
Content-Length: 0

тогда почему не восстановили?
Нереально в короткие сроки, что-то восстановить после SQL-injection сработавшей при race condition и, содержащей нечто вроде команды переименования заранее известных таблиц и имен столбцов vBulletin, которая на 100% работает под легко предсказуемой версией MySQL. Или же просто мусор записать в ключевые места, если хорошо настроено предотвращение от массовых операций. Ну и так далее. Это один из возможных сценариев.

Шапки у вэб-серверов смотреть и прочий набор полезного онлайн-инструментария вот здесь ждет места в закладках: http://www.kloth.net/services/srvinfo.php
Там много незаменимых сетевых полезняшек-утилит.

Но, грамотный админ, знающий толк в безопасности всегда использует header masquarading. Т.е., шапка вэб-сервера не соответствует тому, что в реальности. Делается это для борьбы с автоматизированным софтом, массово сканирующем сервера и заносящим всю информацию в базу данных, для выжидания, когда станет известна 0-day уязвимость именно для этой версии вэб-сервера (и прочих сетевых удаленно доступных ресурсов). Разумеется, для совершения на него атаки с какой-либо злоумышленной целью.

Но, шапку подменить дело нехитрое. Необходимо также поработать и над соответствующими fingerprints, т.е. своеобразными "отпечатками пальцев" вэб-серверов заранее определенных конфигураций, по которым можно определить их истинную версию. Для этого в том числе помогает tcpip hardering - запутывание сетевого стэка.

И вот имея такой набор к вэб-серверу, можно не переживать, что атака будет просчитана заранее, - подготовлены инструменты, которые с легкостью пробьют брешь в четко понятной системе. Причем, автоматически. Приведу на всякий случай явный пример. Eсли IIS начнут "бомбить" на предмет пробивания Apache, явно у них ничего не выйдет и атака будет безуспешной.

Впрочем, смотрим по поверхности.

HTTP response header from forum.littleone.ru :

HTTP/1.1 200 OK
Date: Sat, 06 Nov 2010 22:55:07 GMT
Server: Apache/2.2.14 (Ubuntu)
X-Powered-By: PHP/5.3.2-1ubuntu4.5

Если это правда, тогда кое-что уже понятно.
Ведь, май 2010: "in PHP 5.2 through 5.2.13 and 5.3 through 5.3.2 allow context-dependent attackers to execute arbitrary code by calling these functions with an empty SQL query, which triggers access of uninitialized memory."

И, октябрьский вариант, еще одной уязвимости: "Stack consumption vulnerability in PHP 5.2 through 5.2.13 and 5.3 through 5.3.2 allows context-dependent attackers to cause a denial of service (PHP crash) via a crafted first argument to the fnmatch function, as demonstrated using a long string."

Дальше и продолжать смысла нет. Любой script kiddie на уровне второклашки разберется, что с этим делать.

А про Apache 2.2.14 mod_isapi Dangling Pointer, который "and can allow a remote attacker control of an entire DB" лучше промолчать. Эксплойт уже с марта 2010 в "дикой природе" гуляет.

все верно.
надо header masquarading использовать в обязательном порядке. после выходных буду программерам флудить.

я вот не давно узнал запрос которым IIS7.0 + ASP кладется на раз.
DDoSер шантажист пришел и рассказал )

надо header masquarading использовать в обязательном порядке. после выходных буду программерам флудить. Без создания правильных network service fingerprints ("сетевых отпечатков"), соответствующих замаскированному заголовку вэб-сервера, это практически бесполезно. Сканеры уже давно работают именно по вероятностям определения отпечатков, слабо обращая внимание на шапки-отписки. Так что, вместо одной атаки, генерируются несколько (в том числе, которая и для самоназванного hreader'а), которые работают по соответствию максимально вероятных fingerprints.

я вот не давно узнал запрос которым IIS7.0 + ASP кладется на раз. DDoSер шантажист пришел и рассказал )Шантажиста к ответу и под суд!

Уже пару лет, как DDoS стал очень дешев, 60-150$ за сутки, поток до 2 Гигабит/сек. Бот-сети можно арендовать, цены от принадлежности IP адресов к странам зависят. От 5-15 за тысячу китайких, до 80-150 американские. Новая Зеландия, Австралия подороже, конечно. Причем, на западных "аукционах" цены в 3-4 раза выше названных.
Вобщем, все довольно грустно. Если поставлена задача злоумышленникам и выделены ресурсы - значит будет результат под практически любой заказ.

Без создания правильных network service fingerprints ("сетевых отпечатков"), соответствующих замаскированному заголовку вэб-сервера, это практически бесполезно. Сканеры уже давно работают именно по вероятностям определения отпечатков, слабо обращая внимание на шапки-отписки. Так что, вместо одной атаки, генерируются несколько (в том числе, которая и для самоназванного hreader'а), которые работают по соответствию максимально вероятных fingerprints.

Шантажиста к ответу и под суд!

Уже пару лет, как DDoS стал очень дешев, 60-150$ за сутки, поток до 2 Гигабит/сек. Бот-сети можно арендовать, цены от принадлежности IP адресов к странам зависят. От 5-15 за тысячу китайких, до 80-150 американские. Новая Зеландия, Австралия подороже, конечно. Причем, на западных "аукционах" цены в 3-4 раза выше названных.
Вобщем, все довольно грустно. Если поставлена задача злоумышленникам и выделены ресурсы - значит будет результат под практически любой заказ.

не подкинете линки на how to - network service fingerprints ? быстрогуглил но ничего толкового не нашел.

на ддосера подали заявление в милицию с помощью антидосс оутсорца (неделю нас поливали 4 гигабитами, пришлось трафик отдавать на-почистить) но шанс что его поймают крайне низок по понятным причинам.

к сожалению, DDoS действительно оч дешев. и прост в управлении. псевдохакеры 14-16 лет в атаке.

не подкинете линки на how to - network service fingerprints ? быстрогуглил но ничего толкового не нашел.
Уверен, что не все можно найти в Инете простым поиском.
Рискну предположить, из-за того, что означенные технологии, в некотором роде - искусство, требующее основательной предварительной подготовки и наличия некоторых личностных склонностей.

Могу дать только наводку. Есть такая компания insightiX (http://www.insightix.com/), которая производит на свет чудесные продукты, умеющие без подсказок со стороны определять и рисовать точную схему имеющейся сети и ее текущее состояние, включая статусы сервисов. У них же можно поинтересоваться защитой от такого определения.

Ознакомление с темой network fingerprints рекомендую начать с "классических" мест.


История p0f (http://lcamtuf.coredump.cx/p0f/README)
Утилита p0f (http://lcamtuf.coredump.cx/p0f.shtml)
Remote physical device fingerprinting (http://www.caida.org/publications/papers/2005/fingerprinting/)
TCP Timestamp and Advanced Fingerprinting (http://www.securiteam.com/securityreviews/5LP0K2KF6I.html)

А далее, по ссылкам и используйте поиск по найденным ключевым словам.
к сожалению, DDoS действительно оч дешев. и прост в управлении. псевдохакеры 14-16 лет в атаке.Разные бывают ситуации. Но верно, что DDoS является начальным уровнем, точкой входа в промышленность злоумышленных ИТ. Но существует очень много других способов монетизации массового взлома коспьютеров и тому подобной деятельности.

Ознакомление с темой network fingerprints рекомендую начать с "классических" мест.


История p0f (http://lcamtuf.coredump.cx/p0f/README)
Утилита p0f (http://lcamtuf.coredump.cx/p0f.shtml)
Remote physical device fingerprinting (http://www.caida.org/publications/papers/2005/fingerprinting/)
TCP Timestamp and Advanced Fingerprinting (http://www.securiteam.com/securityreviews/5LP0K2KF6I.html)

А далее, по ссылкам и используйте поиск по найденным ключевым словам.

спасибо, то что нужно.

ЗЫ. полезный топик для меня оказался, хотя и начинался не совсем о том )

ЗЫЫ. под псевдохакерами имел ввиду, то что функционал инструментов для хака (зловредства) настолько велик, а интерфейс юзерфрендли - что особого ума для делания гадостей не надо.

ЗЫЫ. под псевдохакерами имел ввиду, то что функционал инструментов для хака (зловредства) настолько велик, а интерфейс юзерфрендли - что особого ума для делания гадостей не надо.
А теперь представьте, что могут те, у кого ум все-таки наличиствует в полной мере.... Именно так, грустно становится, если брать рядового пользователя Инета, коих большинство (по статистике, на 650 миллионов подключенных к Инету в любой момент компьютеров, свыше 400 миллионов несут в себе какой-то опасный, несанкционированный, внедренный код). И это не паранойя, а простая констатация факта.

Хотя бы взять простейший пример монетизации "умеренного", "нежелательного" программного обеспечения, которое по-тихому установилось через какую-то брешь в системе на компьютер. Причем, из всего функционала, чем этот зловредный софт занят - это перехват трафика между браузером и вэб-серверами в Инете. С целью вычисления на полученных вэб-страницах мест с рекламой и... подмена этой рекламы на определенном сайте своей собственной, которую приказывает показывать в данный момент хозяин этого вторгшегося модуля. Причем, часто даже с имитацией клика от пользователя по означенному рекламному баннеру. И последняя операция может быть даже не отображена пользователю, т.е. активности дополнительной и не заметить.

Что в результате? В норме и по справедливости, за показ и клики по рекламным баннерам деньги должен получать владелец сайта или наполнитель его полезным содержимым (из-за чего читатели туда и пришли). Но с таким "довеском", эти деньги пойдут злоумышленнику, который внедрил и управляет забравшимся в систему паразитом.

Хотя, кому-то такая деятельность может показаться и безобидной. Плевать ведь, кто и что за рекламу там получает. Но, дело в том, что:


Легитимную рекламу могут заменить на все, что угодно, от порно, до ссылки на сервисы, которые иным способом пытаются облапошить пользователя и выманить деньги. А еще хуже, на страницы с такими же "модулями", только с набором функций "побогаче" (зависит от фантазии "создателя", но чаще всего с модулем массовой рассылки СПАМа, или участия в проведении той же распределенной атаки отказа в обслуживании, т.е. DDoS).
Подобное злоумышленное ПО всегда старается следить за деятельностью пользователя в Инете и на компьютере, чтобы более тематическую рекламу подсовывать при замене на вэб-страничках. И слежка бывает разнообразной. Например, вплоть до незаметной активации и видеозаписи со встроенных вэб-камер и записи звуков вокруг компьютера.
Очень часто присутствует функция сбора, индексации и отправки в организованное в Сети злоумышленниками хранилище всей найденной на винчестерах информации - документов, фотографий и т.д..
Как правило, без постоянно обновляемого списка банковских сайтов и платежных систем также не обходится. Их обязательно прослушивают, записывают и передают, так сказать оптом своим хозяевам, вместе с паролями, номерами и другими подробностями.
....Список можно продолжать очень долго.....

Извините, если кого-то здесь напрягает это новое знание. Но при пользовании Сетью, каждый человек должен отдавать себе отчет в том, что происходит вокруг и в его системе, пока он находится в Интернете. Реальность состоит в том, что создана полноценная ИТ индустрия злоумышленного ПО, уже сравнимая по доходности с другими криминальными действиями "традиционного" толка - наркотики, оружие, проституция.

чувствуешь себя никому не нужным?
!вступай в ряды зомби-net! :support: