| Продолжение темы лагов на серверах... |
| 06.07.2009 19:31 |
|
Благодаря принятым мерам администрации портала и сторонних спецов удалось предотвратиь один из могих типов хака наших серверов и решить проблему с лагами. Что было сделано: 1.Найдено решение против такого типа атаки и оно уже успешно работает на нашем головном роутере. 2.Это решение находится в режиме отладки и теста. (Так что возможны еще некоторые глюки) 3.Весь зарубежный трафик снова открыт на все наши сервера. 4.Эти хакеры (ботнеты) у нас не банятся, просто не пропускаются.(То есть, в нормальном режиме он может зайти на сервер) 5.Определён и тип атаки- прога типа ботнета, которая валит сервер множественными посылками по определённым портам. Так что надеюсь что на какое то время мы их победили.... Теперь нечто шокирующие для коммунити.... Мы отфильтровали логи атаки и вычислили основных атакующих. Основные оказались из Латвии (весь список не прилагаю, много). Но самое главное вот этот ip 78.157.132.3 - он упорствует уже несколько суток в попытках уронит наши сервера. В основном Мясо и Конквест атакует..... Кусок лога (весь сильно большой) с роутера прилагаю, что бы это не звучало голословно: Jul 6 17:25:50 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=28 TOS=0x00 PREC=0x00 TTL=118 ID=8111 PROTO=UDP SPT=1429 DPT=27017 L EN=8 Jul 6 17:25:51 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=28 TOS=0x00 PREC=0x00 TTL=118 ID=11179 PROTO=UDP SPT=1429 DPT=27017 EN=8 Jul 6 17:25:52 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=28 TOS=0x00 PREC=0x00 TTL=118 ID=14600 PROTO=UDP SPT=1429 DPT=27017 LEN=8 Jul 6 17:25:53 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=46 TOS=0x00 PREC=0x00 TTL=118 ID=17282 PROTO=UDP SPT=1429 DPT=27017 LEN=26 Jul 6 17:25:54 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=46 TOS=0x00 PREC=0x00 TTL=118 ID=20120 PROTO=UDP SPT=1429 DPT=27017 LEN=26 Jul 6 17:25:55 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=28 TOS=0x00 PREC=0x00 TTL=118 ID=23030 PROTO=UDP SPT=1429 DPT=27017 LEN=8 Jul 6 17:25:56 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=28 TOS=0x00 PREC=0x00 TTL=118 ID=26311 PROTO=UDP SPT=1429 DPT=27017 LEN=8 Jul 6 17:26:19 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=28 TOS=0x00 PREC=0x00 TTL=118 ID=7116 PROTO=UDP SPT=1515 DPT=27015 L EN=8 Jul 6 17:26:20 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=46 TOS=0x00 PREC=0x00 TTL=118 ID=10110 PROTO=UDP SPT=1515 DPT=27015 LEN=26 Jul 6 17:26:21 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=28 TOS=0x00 PREC=0x00 TTL=118 ID=14109 PROTO=UDP SPT=1515 DPT=27015 LEN=8 Jul 6 17:26:22 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=46 TOS=0x00 PREC=0x00 TTL=118 ID=18030 PROTO=UDP SPT=1515 DPT=27015 LEN=26 Jul 6 17:26:23 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=46 TOS=0x00 PREC=0x00 TTL=118 ID=22098 PROTO=UDP SPT=1515 DPT=27015 LEN=26 Jul 6 17:26:24 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=28 TOS=0x00 PREC=0x00 TTL=118 ID=26148 PROTO=UDP SPT=1515 DPT=27015 LEN=8 Jul 6 17:26:25 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=46 TOS=0x00 PREC=0x00 TTL=118 ID=29828 PROTO=UDP SPT=1515 DPT=27015 LEN=26 Jul 6 17:26:26 kernel: Flood :IN=eth0 OUT=eth1 SRC=78.157.132.3 DST=87.226 .13.228 LEN=28 TOS=0x00 PREC=0x00 TTL=118 ID=654 PROTO=UDP SPT=1515 DPT=27015 LE А теперь смотрим кто это- вводим в www.google.lv этот ip. И попадаем на личную страничку профиля YoMan-a (аля Миша) Типа владелец Болотца. И делаем не спешные выводы о его умственном развитии и проявлении его любви к нашему порталу и серверам. Но дело то в том что этот умник, либо раздал эту прогу-хаклку своим корешам и сидит там ухмыляясь. Думая - во как мы попали ламеры на его крутость нямеренную, ща нас типа Обломают, покажут кто тут папа и хозяин. Но дело в том что на каждого умника.... найдётся адекватный ответ и от нас. Мы написали официальное письмо, с логом роутера, его провайдеру и позвонили ему. Провайдер сказал что это дело серьёзное и уголовное и он разберётся с этим. Теперь вопрос- какой нормальный человек, в здравом уме, будет таким заниматься? Он думает что он Бог? Или невидимка или не уязвим? Или он тешит своё децкое недоразвитое самолюбие... Что с такими делают... Всем спасибо за понимание ситуации и терпение, преданность коммунити CONTRA. И в дальнейшем администрация будет прилагать все усилия для быстрого решения возникших проблем. |
