АРМАДА
Udp.pl что за х
На страницу 1, 2  След.
Новая тема Написать ответ Advanced Hosters - профессиональный хостинг

densa
Гуру
Зарегистрирован: 27.06.2006
Сообщений: 1018
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 12:11 amДобавить в избранноеОтветить с цитатой
Чуть инфаркт сейчас не словил, мало того что в ноябре и так по сайнам жопа так еще это
Недели 2 назад закинул на хостинг деньги что бы голова не болела, сегодня выставился счет, думаю дай зайду гляну как там, захожу и охуеваю, у меня баланс не нулевой, а я должен хуеву тучу бабок
пробегаю по вебалайзерам, там никаких всплесков по трафу нет, стучу к админам они говорят что траф гоняет скрипт udp.pl который лежит в папке /tmp/ и в логах его нигде не видно
Админы говорят что он появился через уязвимасть в скпритах, кто нить может сказать какой из скриптов его мог пропустить? на серваке стоит только WP, Smartumbs и ATL
Узнай как отдохнуть в Таиланде самостоятельно
Я болею за Ермак

BrokenBrake
Бомжевед
Зарегистрирован: 16.02.2007
Сообщений: 3432
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 12:35 amОтветить с цитатой
Ну WP, на мой взгляд, вообще всё что угодно может пропустить - расплата за популярность и не слишком хороший код.
Только в данном случае что-то странно. Можно ли доверять этому хостеру? В логах нету, но трафик генерится...
Научись ценить время с microToDo
...а работу с рекламодателями автоматизируй!

Hello_Kitty
V.I.P.
Зарегистрирован: 30.04.2007
Сообщений: 10763
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 12:41 amОтветить с цитатой
описание: Udp.pl is a simple UDP flooder written in perl.
автор: некий хакер Odix
он создал данный флудер давным давно,
самая последняя модификация от 26 февраля 2001-го.

админы правы, эта хренотень просачивается через другие скрипты.
делается это при брутфорс-атаках и ддос-атаках.
были на него жалобы. но это было давно.
этот сриптик давненько никого не пугал.
теперь видимо восстал из ада. Evil or Very Mad

Hello_Kitty
V.I.P.
Зарегистрирован: 30.04.2007
Сообщений: 10763
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 12:45 amОтветить с цитатой
UDP-flooder очень хитренький. те кто его юзает и запускает жертвам,
могут пробить большинство хостеров и в логах даже не светиться.

как с ним бороться пока не известно.
есть одна зацепка: у создателя (Odix'а) есть мыло altec[xuj-sobachij]lvcm.com
попробуй ему внаглую напиши - как, мол, противодействовать твоему дитятке.

Hello_Kitty
V.I.P.
Зарегистрирован: 30.04.2007
Сообщений: 10763
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 12:53 amОтветить с цитатой
писать ему нужно на инглише, естественно,
хотя я конечно не уверен что мыло еще действует.
но мало ли - иностранцы. быть может они всю жизнь одним мылом пользуются.
тем более этот хрен, если считает себя крутым хацкером, может не боится за свое мыло,
и до сих пор отвечает на добрые письма своих жертв. Smile

Hello_Kitty
V.I.P.
Зарегистрирован: 30.04.2007
Сообщений: 10763
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 1:28 amОтветить с цитатой
а вот есть не такие уж убойные решения, а технические:

по одной версии этот флуд по UDP можно прекратить
скачав патч отсюда: http://www.pnphpbb.com/index.php?name=PNphpBB2&file=viewtopic&t=5606
не бойся, открывай урл, там суппорт-форум по безопасности.
и на скачивание патча есть отдельная "кнопочка", на которую нужно нажать
(имеется в виду download).
этот патч поможет в случае если у тебя произошла ошибка в файле
/modules/PNphpBB2/includes/functions_admin.php
т.к. эта уязвимость затрагивает всех, у кого register_globals = On

Hello_Kitty
V.I.P.
Зарегистрирован: 30.04.2007
Сообщений: 10763
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 1:30 amОтветить с цитатой
по другой версии лечение нужно производить таким образом:

права доступа на /var = 644
в .htaccess прописать:
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)highlight=%2527
RewriteRule ^.*$ - [F,L]

densa
Гуру
Зарегистрирован: 27.06.2006
Сообщений: 1018
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 1:39 amОтветить с цитатой
у меня PNphpBB2 сроду никогда не стояло

время скоро семь утра а я из-за этого долбанного скрипта еще не ложился
Узнай как отдохнуть в Таиланде самостоятельно
Я болею за Ермак

Hello_Kitty
V.I.P.
Зарегистрирован: 30.04.2007
Сообщений: 10763
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 2:06 amОтветить с цитатой
а сервак на чем? Бздя (FreeBSD) или Линукс?
пару решений которые я запостил касаются Бздю.

densa
Гуру
Зарегистрирован: 27.06.2006
Сообщений: 1018
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 2:15 amОтветить с цитатой
Фрибсд
Узнай как отдохнуть в Таиланде самостоятельно
Я болею за Ермак

Hello_Kitty
V.I.P.
Зарегистрирован: 30.04.2007
Сообщений: 10763
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 3:44 amОтветить с цитатой
вот тут погляди, может поможет инфа:
http://www.bsdforums.org/forums/archive/index.php/t-50356.html
http://forums.fedoraforum.org/showthread.php?p=211881
больше ничем не могу помочь. много чего перечитал. а толку мало.
зато очень много практических уроков прочел как внедрить
этот перл жертве и как устроить флуд-атаку.
а методов борьбы практически нет.
все в основном советуют сделать формат и реинсталл.

brush
V.I.P.
Зарегистрирован: 29.09.2005
Сообщений: 2572
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 4:20 amОтветить с цитатой
Hello_Kitty писал(а):
UDP-flooder очень хитренький. те кто его юзает и запускает жертвам,
могут пробить большинство хостеров и в логах даже не светиться.

как с ним бороться пока не известно.
есть одна зацепка: у создателя (Odix'а) есть мыло altec[xuj-sobachij]lvcm.com
попробуй ему внаглую напиши - как, мол, противодействовать твоему дитятке.

мое плакало Smile
причем на тя даже злиться не выходит - настолько очаровательно-наивны попытки помочь)))
1. в логах все светится
2. сам по себе скрипт и (тем более!!) его автор ни в чем не виноваты - он написал скрипт 6 лет назад - О ЧЕМ??? ег можно прашивать сейчас?? как вернуть бапки просранные его скриптом?
не трогайте человека (есть 1 из 300000000 шанс что этим мылом он пользуется)))
3. "пробить большинство хостеров" могут все - вопрос кривизны скриптов и времени
4. разруха - она в головах; лечить надо не udp.pl, а свои скрипты (скорее всего вордпресс. но никто ничего не обещал)
ну положат вместо udp.pl upload.php - какая разница?
5. или я туплю или одно из 2-х
5.1. в папке tmp могут исполняться скрипты (нахуя????)
5.2. злоумышленник эскалировал себе полномочия для того что б дать своему скрипту права на исполнение (это гораздо хуже самого по себе наличия udp.pl)))))

Удачи!

Hello_Kitty
V.I.P.
Зарегистрирован: 30.04.2007
Сообщений: 10763
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 1:50 pmОтветить с цитатой
ну вот! а что делать, как решить траблу ты так и не сказал.
в общем вот картинка, сочувственная, для densa:

Li-Hua
Чинамэн
Зарегистрирован: 25.12.2005
Сообщений: 11544
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 6:04 pmОтветить с цитатой
WP очень часто ломают, скорее всего через него.

vitvirtual
виртуальный
Зарегистрирован: 11.06.2007
Сообщений: 9061
Contest (Сумма: 1)
Обратиться по нику
# Добавлено:Вс Dec 02, 2007 7:53 pmОтветить с цитатой
блин а у меня тоже куча блогов на WP - хорошо что для своего личного купил платный скрипт сразу после взлома Sad
www.King-Servers.com - Dedicated Servers от 65$, VDS от 25$
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры