| |
|
07.11.2010, 01:06
|
#11
|
|
Активный участник
Регистрация: 10.03.2010
Сообщений: 428
|
Цитата:
Сообщение от Mister abX
А посмотреть леригия не позволяет? 
Apache/2.2.14 (Ubuntu)
Софт vBulletin, скорее всего, прилично переписанный, а может и нет, конечно. База на 99% - мускуль, иначе переписывать слишком много... Наверняка, живет на отдельной машине, или, скорее кластере. |
давно хотел спросить- посмотреть-забывал, вспомнил-написал-флажек в голове появился и то только под вечер вспомнил, о чем спрашивал )
на момент написания был в дали от нетбука, а помимо ab -n 1 -c 1 -v 3 и тд как то и не знаю что смотреть.
по идее через телнет на 80 порт можно послать запрос
GET / HTTP/1.0
Host: forum.littleone.ru
User-Agent: ApacheBench/2.3
Accept: */*
но такое в голове надолго не удержать )
можно через wireshark посмотреть - но его обратно надо устанавливать.
как еще можно посмотреть?
|
|
Цитировать ·
|
|
07.11.2010, 01:10
|
#12
|
|
Активный участник
Регистрация: 10.03.2010
Сообщений: 428
|
Цитата:
Сообщение от Surgeon
тогда почему не восстановили?
|
таки от логического сбоя кластер не спасет, не правильно думаю?
|
|
|
Цитировать ·
|
|
07.11.2010, 01:14
|
#13
|
|
котъ
Регистрация: 13.03.2003
Адрес: Tallinn
Сообщений: 13 559
|
Именно так, телнетом на 80й порт. Только там стандартные вещи все прихвачены, и выдают кучу кода, поэтому наша задача - поставить сервер в тупик. Скажем:
Цитата:
bash-2.05a$ telnet forum.littleone.ru 80
Trying 80.93.48.158...
Connected to forum.littleone.ru.
Escape character is '^]'.
GET / HTTP/1.2
HTTP/1.1 400 Bad Request
Date: Sat, 06 Nov 2010 21:11:18 GMT
Server: Apache/2.2.14 (Ubuntu)
Content-Length: 310
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
<hr>
<address>Apache/2.2.14 (Ubuntu) Server at forum.littleone.ru Port 80</address>
</body></html>
Connection closed by foreign host.
|
А почему в голове не удержать? Когда это твоя работа, то и не такое держишь...
|
|
|
Цитировать ·
|
|
07.11.2010, 01:39
|
#14
|
|
Активный участник
Регистрация: 10.03.2010
Сообщений: 428
|
Цитата:
Сообщение от Mister abX
Именно так, телнетом на 80й порт. Только там стандартные вещи все прихвачены, и выдают кучу кода, поэтому наша задача - поставить сервер в тупик. Скажем:
А почему в голове не удержать? Когда это твоя работа, то и не такое держишь... |
таки моя работа в основном - инфраструктура, железки-сеть. сервисы типа web - это только как пользователь.
ЗЫ.
Видимо от сервера зависит, что отдавать на не правильный запрос
Вот делаю get http/1.3 к одному из серверов на работе, из ответа ясно, что работает на windows но не более
Escape character is '^]'.
get http/1.3
HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Sat, 06 Nov 2010 21:46:10 GMT
Connection: close
Content-Length: 324
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>Bad Request</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
<BODY><h2>Bad Request - Invalid URL</h2>
<hr><p>HTTP Error 400. The request URL is invalid.</p>
</BODY></HTML>
Connection closed by foreign host.
вот делаю "нормальный" запрос, возвращает инфы побольше.
GET / HTTP/1.0
Host: zzzzzz.ru
User-Agent: ApacheBench/2.3
Accept: */*
---
LOG: header received:
HTTP/1.1 200 OK
Cache-Control: max-age=2592000
Content-Type: text/html
Last-Modified: Thu, 22 Apr 2010 14:36:43 GMT
Accept-Ranges: bytes
ETag: "9635663a29e2ca1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Sat, 06 Nov 2010 21:48:32 GMT
Connection: close
Content-Length: 0
|
|
|
Цитировать ·
|
|
07.11.2010, 02:43
|
#15
|
|
Активный участник
Регистрация: 02.05.2010
Сообщений: 433
|
Цитата:
Сообщение от Surgeon
тогда почему не восстановили?
|
Нереально в короткие сроки, что-то восстановить после SQL-injection сработавшей при race condition и, содержащей нечто вроде команды переименования заранее известных таблиц и имен столбцов vBulletin, которая на 100% работает под легко предсказуемой версией MySQL. Или же просто мусор записать в ключевые места, если хорошо настроено предотвращение от массовых операций. Ну и так далее. Это один из возможных сценариев.
Шапки у вэб-серверов смотреть и прочий набор полезного онлайн-инструментария вот здесь ждет места в закладках: http://www.kloth.net/services/srvinfo.php
Там много незаменимых сетевых полезняшек-утилит.
Но, грамотный админ, знающий толк в безопасности всегда использует header masquarading. Т.е., шапка вэб-сервера не соответствует тому, что в реальности. Делается это для борьбы с автоматизированным софтом, массово сканирующем сервера и заносящим всю информацию в базу данных, для выжидания, когда станет известна 0-day уязвимость именно для этой версии вэб-сервера (и прочих сетевых удаленно доступных ресурсов). Разумеется, для совершения на него атаки с какой-либо злоумышленной целью.
Но, шапку подменить дело нехитрое. Необходимо также поработать и над соответствующими fingerprints, т.е. своеобразными " отпечатками пальцев" вэб-серверов заранее определенных конфигураций, по которым можно определить их истинную версию. Для этого в том числе помогает tcpip hardering - запутывание сетевого стэка.
И вот имея такой набор к вэб-серверу, можно не переживать, что атака будет просчитана заранее, - подготовлены инструменты, которые с легкостью пробьют брешь в четко понятной системе. Причем, автоматически. Приведу на всякий случай явный пример. Eсли IIS начнут "бомбить" на предмет пробивания Apache, явно у них ничего не выйдет и атака будет безуспешной.
|
|
|
Цитировать ·
|
|
07.11.2010, 03:02
|
#16
|
|
Активный участник
Регистрация: 02.05.2010
Сообщений: 433
|
Впрочем, смотрим по поверхности.
HTTP response header from forum.littleone.ru :
HTTP/1.1 200 OK
Date: Sat, 06 Nov 2010 22:55:07 GMT
Server: Apache/2.2.14 (Ubuntu)
X-Powered-By: PHP/5.3.2-1ubuntu4.5
Если это правда, тогда кое-что уже понятно.
Ведь, май 2010: "in PHP 5.2 through 5.2.13 and 5.3 through 5.3.2 allow context-dependent attackers to execute arbitrary code by calling these functions with an empty SQL query, which triggers access of uninitialized memory."
И, октябрьский вариант, еще одной уязвимости: "Stack consumption vulnerability in PHP 5.2 through 5.2.13 and 5.3 through 5.3.2 allows context-dependent attackers to cause a denial of service (PHP crash) via a crafted first argument to the fnmatch function, as demonstrated using a long string."
Дальше и продолжать смысла нет. Любой script kiddie на уровне второклашки разберется, что с этим делать.
А про Apache 2.2.14 mod_isapi Dangling Pointer, который "and can allow a remote attacker control of an entire DB" лучше промолчать. Эксплойт уже с марта 2010 в "дикой природе" гуляет.
|
|
|
Цитировать ·
|
|
07.11.2010, 12:31
|
#17
|
|
Активный участник
Регистрация: 10.03.2010
Сообщений: 428
|
все верно.
надо header masquarading использовать в обязательном порядке. после выходных буду программерам флудить.
я вот не давно узнал запрос которым IIS7.0 + ASP кладется на раз.
DDoSер шантажист пришел и рассказал )
|
|
|
Цитировать ·
|
|
07.11.2010, 13:48
|
#18
|
|
Активный участник
Регистрация: 02.05.2010
Сообщений: 433
|
Цитата:
Сообщение от boltliviy
надо header masquarading использовать в обязательном порядке. после выходных буду программерам флудить.
|
Без создания правильных network service fingerprints ("сетевых отпечатков"), соответствующих замаскированному заголовку вэб-сервера, это практически бесполезно. Сканеры уже давно работают именно по вероятностям определения отпечатков, слабо обращая внимание на шапки-отписки. Так что, вместо одной атаки, генерируются несколько (в том числе, которая и для самоназванного hreader'а), которые работают по соответствию максимально вероятных fingerprints.
Цитата:
Сообщение от boltliviy
я вот не давно узнал запрос которым IIS7.0 + ASP кладется на раз. DDoSер шантажист пришел и рассказал )
|
Шантажиста к ответу и под суд!
Уже пару лет, как DDoS стал очень дешев, 60-150$ за сутки, поток до 2 Гигабит/сек. Бот-сети можно арендовать, цены от принадлежности IP адресов к странам зависят. От 5-15 за тысячу китайких, до 80-150 американские. Новая Зеландия, Австралия подороже, конечно. Причем, на западных "аукционах" цены в 3-4 раза выше названных.
Вобщем, все довольно грустно. Если поставлена задача злоумышленникам и выделены ресурсы - значит будет результат под практически любой заказ.
|
|
|
Цитировать ·
|
|
07.11.2010, 18:08
|
#19
|
|
Активный участник
Регистрация: 10.03.2010
Сообщений: 428
|
Цитата:
Сообщение от TenTen
Без создания правильных network service fingerprints ("сетевых отпечатков"), соответствующих замаскированному заголовку вэб-сервера, это практически бесполезно. Сканеры уже давно работают именно по вероятностям определения отпечатков, слабо обращая внимание на шапки-отписки. Так что, вместо одной атаки, генерируются несколько (в том числе, которая и для самоназванного hreader'а), которые работают по соответствию максимально вероятных fingerprints.
Шантажиста к ответу и под суд!
Уже пару лет, как DDoS стал очень дешев, 60-150$ за сутки, поток до 2 Гигабит/сек. Бот-сети можно арендовать, цены от принадлежности IP адресов к странам зависят. От 5-15 за тысячу китайких, до 80-150 американские. Новая Зеландия, Австралия подороже, конечно. Причем, на западных "аукционах" цены в 3-4 раза выше названных.
Вобщем, все довольно грустно. Если поставлена задача злоумышленникам и выделены ресурсы - значит будет результат под практически любой заказ.
|
не подкинете линки на how to - network service fingerprints ? быстрогуглил но ничего толкового не нашел.
на ддосера подали заявление в милицию с помощью антидосс оутсорца (неделю нас поливали 4 гигабитами, пришлось трафик отдавать на-почистить) но шанс что его поймают крайне низок по понятным причинам.
к сожалению, DDoS действительно оч дешев. и прост в управлении. псевдохакеры 14-16 лет в атаке.
|
|
|
Цитировать ·
|
|
08.11.2010, 11:35
|
#20
|
|
Активный участник
Регистрация: 02.05.2010
Сообщений: 433
|
Цитата:
Сообщение от boltliviy
не подкинете линки на how to - network service fingerprints ? быстрогуглил но ничего толкового не нашел.
|
Уверен, что не все можно найти в Инете простым поиском.
Рискну предположить, из-за того, что означенные технологии, в некотором роде - искусство, требующее основательной предварительной подготовки и наличия некоторых личностных склонностей.
Могу дать только наводку. Есть такая компания insightiX, которая производит на свет чудесные продукты, умеющие без подсказок со стороны определять и рисовать точную схему имеющейся сети и ее текущее состояние, включая статусы сервисов. У них же можно поинтересоваться защитой от такого определения.
Ознакомление с темой network fingerprints рекомендую начать с "классических" мест.
А далее, по ссылкам и используйте поиск по найденным ключевым словам.
Цитата:
|
к сожалению, DDoS действительно оч дешев. и прост в управлении. псевдохакеры 14-16 лет в атаке.
|
Разные бывают ситуации. Но верно, что DDoS является начальным уровнем, точкой входа в промышленность злоумышленных ИТ. Но существует очень много других способов монетизации массового взлома коспьютеров и тому подобной деятельности.
|
|
|
Цитировать ·
|
Ваши права в разделе
|
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
HTML код Выкл.
|
|
|
Перепечатка материалов запрещена без письменного согласия администрации и авторов.
© 2000—2012 Littleone®.
|
Powered by vBulletin® Version 3.8.7 Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. Перевод на русский язык - idelena
|
|
|
|
