首页
社区
课程
招聘
[通告]论坛被攻击的记录[2008.6.6再次被恶意攻击着]
发表于: 2008-2-15 09:53 48823

[通告]论坛被攻击的记录[2008.6.6再次被恶意攻击着]

2008-2-15 09:53
48823
收藏
免费 0
支持
分享
最新回复 (213)
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
126
很想问一下:如何设置同步双服务器
2008-2-22 01:12
0
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
127
根据以前玩Hack的经验.(我指比较常用的情况)这种攻击分为SYN 与 正常方式提交用以占用IIS(,可能是其他)的处理.
当然后者常用于工具虚拟主机,因为如果攻击独立主机,需要攻击者拥有相当多甚至是有相当质量的肉鸡.
而前者仅需一两台放在主干上的服务器 即可很方便的使得目标端口睹死,从而拒绝访问.当然偶以前更常用SYN,说点题外话.基本上百试百灵,哪怕是很多门户网站,只要最终的服务器不是太多的话,拥有相同带宽的攻击服务器与被攻击服务器即可很好的完成任务,当然要求攻击服务器的CPU够快.这一点一般4Xeon 配合 1000电信主干光纤就基本够用.

这两种攻击方式如果要从追查角度来讲.毫不客气地说就目前中国的现状SYN攻击是不可能查出来的,具体分析好像安全焦点有相关文章.我就不去多说了.除非你能够有权调用和修改各地ISP的路由,其可能性..就.
但是就pediy.com这种类型的工具,[猜测]应该是属于后者,即构造正常的数据包给HTTP 以造成服务器段脚本解析忙,或者数据库队列超时.,但我个人认为使用这种攻击方法的人,其实并不是什么高手.我只是凭经验来说,也不排除大牛养鸡的可能性.当然个人认为喜欢养鸡的人不外乎那一类人而已.开发这些工具的人我想是没有多少兴趣去养你几只鸡的.
而这种方式相对来说要好跟踪一些.
首先,因为所抓的肉鸡属于低质量高数量的那种,从而这种肉鸡的来源必然来自于某一种漏洞扫描以及木马植入软件.因此从这个角度来说,在虽然肉鸡的IP并不固定,但是在实施攻击的途中,必然会以正常的IP提交并建立连接,而此时正是反向入侵的好时机,由于程序都可以容易的把漏洞识别出来,相信各路英雄豪杰也不例外.只是做一种合理的假设,毕竟不知道现在的木马是否已经智能到植入木马以后自动封锁漏洞,下载补丁,是否以后也准备把主防也安装上?......
假如一切按照预想的方向发展.此时我们就可以得到感染攻击木马的计算机的控制权,剩下的工作就是想办法把木马原始样本提取出来,然后交给IDA 的 F5.当然也不排除人肉反编译器比如forgXt,shoooo,之类的工具 .
之后就容易找到试图入侵者用于存放木马更新的FTP,或者空间地址,以及与攻击者的通信方式.采用直接控制方式的就很容易找到入侵者的IP,当然不排除用的被动模式,这也是一般模式,因为攻击者是ADSL或者内网的可能性比较大,为了照顾情绪,一般而言都是采用的被动方式.这种就需要动用社会工程学联系一下域名或者空间提供商,让其提供一下IP地址即可.当然这还不算晚.有经验的攻击者常常使用跳板,如果国内跳板还是好办得.相信各位英雄豪杰的社会能力,至于放在国外的,可能就要困难一点,尤其是匿名sock4/5代理.

话又说回来了,vbulletin应该提供discuz!的防攻击机制[也许有,我火星了也有可能.声明我不懂php].既然资源消耗大主要来自于数据库和脚本解析,那么是否可以考虑加一个验证码之类的?另外对于数据库查询间隔进行简单的判断.
对于一个非会员session建立一个全局对象,在首次登陆访问时必须输入验证码(具体还可以工具当前服务器负载决定是否开放).这个对于PHP应该也不复杂 估计也就是无限_include的问题.只是有一个坏处就是搜索引擎可能就无法正常搜索.虽然可以通过一些特定搜索引擎的关键字判断.但要判断这个实在是需要折中的一个解决方案.我感觉与其去追查source还不如搞defend.我想这一点hack 与crack既有相同点又有共同点.
因此我YY两局顺便说一下我的意见,虽然交公安机关是可以恐吓一下攻击者,但是客观来讲.......既然是搞攻击的人自然对于这种问题是有数的.因此为了避免不必要的新闻发布,我还是推荐更新一下平台,就如之前提过的这类解决方法一样.最后我在乌鸦两句,我认为vBulletin从各方面其实都没有Discuz!好,就包括防攻击等细节处理上.虽然pediy的确用了很多年vBulletin,但是我想有更好的东西还是应该考虑换一下.当然这个就是纯属XY了,仅仅是从攻击事件联想到的.比如Discuz!生成静态页面以后对这种问题有一个较好的优化作用.

欺骗这种攻击木马的方法很多,并非一点要用验证码,因为现在大多数攻击马只管发包,而不管之后的事情,也不具有动态脚本分析等的能力,因此诸如插入全局随机页面通过跳转来访问真实页面,甚至利用Js,页面载入以后比如发送一个标志给服务器,服务器才会返回真实页面信息....挂钩挂钩,不知道PHP有没有全局页面解析设置,就和aspx一样,弄一个全局过滤将后缀为aspx的简单过滤一下插入验证码,总之一切可以欺骗这种框刷新机的东西.甚至如果超过一定次数发现是'流量刷'.就可以考虑设置硬件路由或者防火墙把IP ban掉一定时间从而节约带宽.

注意:以上纯属个人意见,有错误或者不准确的地方都是客观存在的.别使我变成海王星就行了.火星也就够X了.

累死了..睡觉去.
2008-2-22 03:25
0
雪    币: 250
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
128
最恨的就是这种无聊的人,一点技术含量都没有!
2008-2-22 09:23
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
129
看雪一向不与外界争论,怎么也受到了攻击。郁闷了。难怪那几天一开就是该页无法显示
郁闷了。
2008-2-22 10:18
0
雪    币: 50161
活跃值: (20625)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
130
你分析的有道理,长了不少见识。
这几个月来,大概有半年了,攻击者断断续续攻击着,针对性很强(以前也有攻击,但不会持续这么长,最多几天)。常在河边走,哪有不湿脚,只要攻击者继续这样做,总有可能被我们逮住机会,如果他真通过木马控制肉机的话(可能性大,攻击时间和强度对方随时控制着),我们得到木马,他的行踪就可能暴露了。

从安全角度来说,vBulletin的安全是业界公认的,感觉Discuz!好多方面是学习vBulletin的思路,以前在哪个论坛看过别人打的比方,Discuz!是写字板,vBulletin是word(可能这比方放到今天有些不恰当,Discuz!进步很快),只是vBulletin不太注重界面(不过可以自己美化),还有一些习惯不是为中国用户设计,但其内在的核心技术是很优秀的。vBulletin也有静态页面,是由插件来实现的,安装有些麻烦,得改模板文件。一些“伪”静态页面主要是方便搜索引擎收录,在防CC攻击方面不一定很有用。其中cach机制在防CC有很好效果,这点可以从在php和mysql层面来解决。
2008-2-22 10:24
0
雪    币: 135
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
131
我只想说.是一家及几家游戏公司.我是通过朋友告知的.另外本身也爱好网络安全.如果各位不信可以纯当我放屁.我能说的只有这么多. 名字不能告知(我也是同行)
2008-2-22 13:19
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
132
看雪的速度一直是问题
这几天反而感觉速度很快
2008-2-22 18:02
0
雪    币: 50161
活跃值: (20625)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
133
被攻击的没办法,换服务器了,重新优化了。
这次还真得好好感谢LOVE,不然还抗不过去。
2008-2-22 18:11
0
雪    币: 184
活跃值: (47)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
134
前天我来看雪 不幸中招了 !~  555555555  恨攻击着 这么垃圾的行为 难道配做个中国人么 素质真低!~
2008-2-22 19:20
0
雪    币: 135
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
135
下班了..呼.
肉鸡的IP有记录吗..给我几个.我看能帮上忙不.
2008-2-22 19:34
0
雪    币: 50161
活跃值: (20625)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
136
非常的感谢!
到时与你联系.
2008-2-22 19:36
0
雪    币: 609
活跃值: (237)
能力值: ( LV12,RANK:441 )
在线值:
发帖
回帖
粉丝
137
这么认真的意见……好样的
2008-2-23 11:09
0
雪    币: 134
活跃值: (84)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
138
话又说回来了,vbulletin应该提供discuz!的防攻击机制[也许有,我火星了也有可能.声明我不懂php].既然资源消耗大主要来自于数据库和脚本解析,那么是否可以考虑加一个验证码之类的?另外对于数据库查询间隔进行简单的判断.
对于一个非会员session建立一个全局对象,在首次登陆访问时必须输入验证码(具体还可以工具当前服务器负载决定是否开放).这个对于PHP应该也不复杂 估计也就是无限_include的问题.只是有一个坏处就是搜索引擎可能就无法正常搜索.虽然可以通过一些特定搜索引擎的关键字判断.但要判断这个实在是需要折中的一个解决方案.我感觉与其去追查source还不如搞defend.我想这一点hack 与crack既有相同点又有共同点.
因此我YY两局顺便说一下我的意见,虽然交公安机关是可以恐吓一下攻击者,但是客观来讲.......既然是搞攻击的人自然对于这种问题是有数的.因此为了避免不必要的新闻发布,我还是推荐更新一下平台,就如之前提过的这类解决方法一样.最后我在乌鸦两句,我认为vBulletin从各方面其实都没有 Discuz!好,就包括防攻击等细节处理上.虽然pediy的确用了很多年vBulletin,但是我想有更好的东西还是应该考虑换一下.当然这个就是纯属XY了,仅仅是从攻击事件联想到的.比如Discuz!生成静态页面以后对这种问题有一个较好的优化作用.


vBulletin确实是安全业界公认的,很多国内外的专业安全论坛、网站都在使用vBulletin。虽然我php也不好,但是根据漏洞出现的数量。php论坛模板的安全性远大于asp类。而且针对php的入侵比asp的难度要大。所以如果不换用perl语言的模板的情况下我建议还用现有模板。
资料参考:http://www.milw0rm.com/
http://www.php-security.org/index.html
我的观点还是在防火墙上下功夫。
2008-2-23 11:46
0
雪    币: 308
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
139
哇!!!
美女!!!
相当养眼!!!
2008-2-23 11:51
0
雪    币: 192
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
140
我这儿什么都看不到,就是原来那张图啊,咋个回事???
2008-2-25 11:50
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
141
版主我估计它们背后都有资金支持呢。所以能一直的攻击。易攻难防呀
我看还是合好吧。
2008-2-25 15:18
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
142
黑客黑客都是在黑夜里行动。而且都有必胜的信息。
安全这东西,没有绝对安全系统。对开源的系统FREEBSD。PHP解析器。
漏洞特别多。一但被黑客发现,估计服务器就DOWN了。或者黑客把管理员的密码修改。然后就进不去了。网管不容易呀。晚上都睡不好
2008-2-25 15:28
0
雪    币: 254
活跃值: (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
143
坚决支持看雪!
2008-2-25 22:03
0
雪    币: 195
活跃值: (62)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
144
测试一下,比原来快多了
2008-2-26 08:59
0
雪    币: 203
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
145
这个CC是比较难防滴!貌似黑客防线有人介绍过原理及防范的方法.找黑防打听下吧!现在的网警也没啥用.感觉这个组织相当无聊!
2008-2-26 14:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
146
攻击我们的论坛 找死!
2008-2-27 12:29
0
雪    币: 740
活跃值: (952)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
147
问一个问题,这里能设置在××秒内不能刷新吗?也许好点
2008-2-27 18:30
0
雪    币: 14
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
148
辽宁网通,测试比前快很多!
2008-2-28 19:30
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
149
支持下  希望可以安全的过下去
2008-2-28 23:31
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
150
最初由 foxabu发布  
根据以前玩Hack的经验.(我指比较常用的情况)这种攻击分为SYN 与 正常方式提交用以占用IIS(,可能是其他)的处理.
当然后者常用于工具虚拟主机,因为如果攻击独立主机,需要攻击者拥有相当多甚至是有相当质量的肉鸡.
而前者仅需一两台放在主干上的服务器 即可很方便的使得目标端口睹死,从而拒绝访...

分析的好 今天让我长见识了
2008-2-29 05:56
0
游客
登录 | 注册 方可回帖
返回
//