spam-ерите ме налазиха ...

[Sp0oN]

spam-ерите ме налазиха ...

Може ли някой да ми каже...
Значи открих, че някой ми е сложил експлойт на име "Ice" на едно старо пхпбб на хостинга ми, та засякох доста ай-пи-та от лога и сега ги банвам през С-панел-а с който управлявам хостинга (достатъчно сигурно ли е ?). Повечето от ай-питата:

Current IP addresses being blocked
80.191.238.50
217.146.216.194
85.185.107.254
72.179.150.54
68.47.87.62
78.154.48.2
89.165.73.18
200.122.36.74
195.218.170.4
195.158.19.224
217.219.56.66

идват от Иран или Северна Америка (US) и са от следния домейн:

217.219.56.66 is from Iran(IR) in region Asia

TraceRoute to 217.219.56.66
Hop (ms) (ms) (ms) IP Address Host name
1 0 0 0 66.98.244.1 gphou-66-98-244-1.ev1servers.net
2 0 0 0 66.98.241.16 gphou-66-98-241-16.ev1servers.net
3 0 0 0 66.98.240.5 gphou-66-98-240-5.ev1servers.net
4 1 1 1 129.250.10.189 ge-1-14.r04.hstntx01.us.bb.gin.ntt.net
5 4 1 1 129.250.2.230 xe-0-1-0.r21.hstntx01.us.bb.gin.ntt.net
6 1 2 1 129.250.3.24 ae-0.r20.hstntx01.us.bb.gin.ntt.net
7 18 9 6 129.250.3.129 as-0.r20.dllstx09.us.bb.gin.ntt.net
8 6 6 6 129.250.2.59 ae-0.r21.dllstx09.us.bb.gin.ntt.net
9 9 9 6 154.54.11.193 t8-3.mpd01.dfw03.atlas.cogentco.com
10 16 18 19 154.54.6.65 t4-2.mpd01.dfw01.atlas.cogentco.com
11 16 16 18 154.54.5.14 t8-1.mpd01.mci01.atlas.cogentco.com
12 19 15 16 154.54.5.205 g9-0-0.core01.mci01.atlas.cogentco.com
13 54 54 54 154.54.3.201 p1-0.core02.jfk02.atlas.cogentco.com
14 132 130 132 66.28.4.190 p2-0.core01.lon01.atlas.cogentco.com
15 132 130 132 130.117.0.197 p3-0.core01.ams03.atlas.cogentco.com
16 141 141 144 130.117.0.146 p4-0.core01.fra03.atlas.cogentco.com
17 222 225 222 149.6.84.182 turk-telecom.demarc.cogentco.com
18 224 222 224 212.156.119.241 uls_t1_1-uls_ebgp.ttnet.net.tr
19 Timed out Timed out Timed out -
20 273 269 269 195.175.5.26 -
21 264 267 264 217.218.155.65 -
22 265 267 264 217.218.155.33 -
23 267 264 266 195.146.33.33 -
24 274 271 273 217.219.0.249 -
25 284 283 286 217.219.96.115 -
26 281 280 278 217.219.96.117 -
27 280 328 279 217.219.56.69 -
28 267 269 279 217.219.56.66 -

Trace complete

тъй като съм лаик в тази област, ще Ви помоля за съвет какво да правя ...

 

[flasher]

Re: got hacked...

Re: got hacked...

ако е само phpbb може и с htaccess
аз по принцип директно банвам от firewall-а че да не пипат нищо
а нали не си забравил да си пачнеш phpbb-то

 

[georgimateev]

Re: got hacked...

Re: got hacked...

Ами добре си се ориентирал. Трий експлойта, патчни phpBB-то на последна версия и банни IP-тата на атакера.
Бих се разровил и из access.log да видя с какви GET стрингове влизат, за да хвана общото в заявките и да го банна и него с .htaccess така че да не се случва пак. Виж с какив стрингове се влиза в експлойта и потърси с какъв injection ти е бил качен.

Виж www.securityfocus.com за повече инфо.

 

[Sp0oN]

Re: got hacked...

Re: got hacked...

Eто парче от кода:

85.185.107.254 - - [30/Sep/2007:05:31:10 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.1" 200 5 "[url]http://www.pars-gsm.com/showthread.php?t=3536"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.185.107.254 - - [30/Sep/2007:05:31:10 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.1" 200 5 "[url]http://www.pars-gsm.com/showthread.php?t=3536"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
217.146.216.194 - - [30/Sep/2007:05:31:56 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.1" 200 5 "[url]http://www.pars-gsm.com/memberlist.php"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avant Browser)"
217.146.216.194 - - [30/Sep/2007:05:31:56 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.1" 200 5 "[url]http://www.pars-gsm.com/memberlist.php"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avant Browser)"
80.191.238.50 - - [30/Sep/2007:05:32:34 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.0" 200 0 "[url]http://www.pars-gsm.com/register.php?do=signup"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)"
80.191.238.50 - - [30/Sep/2007:05:32:37 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.0" 200 0 "[url]http://www.pars-gsm.com/register.php?do=signup"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)"
80.191.238.50 - - [30/Sep/2007:05:32:51 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.0" 200 0 "[url]http://www.pars-gsm.com/register.php"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)"
80.191.238.50 - - [30/Sep/2007:05:32:53 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.0" 200 0 "[url]http://www.pars-gsm.com/register.php"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)"
217.146.216.194 - - [30/Sep/2007:05:33:20 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.1" 200 5 "[url]http://www.pars-gsm.com/login.php?do=logout&logouthash=8b76d0d7ef1a8ea9dd3fb1d9f0783599"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avant Browser)"
217.146.216.194 - - [30/Sep/2007:05:33:20 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.1" 200 5 "[url]http://www.pars-gsm.com/login.php?do=logout&logouthash=8b76d0d7ef1a8ea9dd3fb1d9f0783599"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avant Browser)"
80.191.238.50 - - [30/Sep/2007:05:34:13 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.0" 200 0 "[url]http://www.pars-gsm.com/register.php?do=addmember"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)"
80.191.238.50 - - [30/Sep/2007:05:34:13 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.0" 200 0 "[url]http://www.pars-gsm.com/register.php?do=addmember"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)"
121.72.42.146 - - [30/Sep/2007:05:34:13 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.1" 200 5 "[url]http://www.funfry.com/"[/url] "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)"
78.154.48.2 - - [30/Sep/2007:05:37:47 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.0" 200 0 "[url]http://www.pars-gsm.com/"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
78.154.48.2 - - [30/Sep/2007:05:37:47 +0300] "GET /forum/images/avatars/gallery/ice/ice/index.php HTTP/1.0" 200 0 "[url]http://www.pars-gsm.com/"[/url] "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Както казах - съм лаик, но мисля, че цялата история е за инжектиране на юзъри, постове и спам ...
аз така или иначе изтрих форума, той не беше активен вече, но все пак наглата работа "айс" си беше направила и собствена база данни .... ( и нея изтрих ) ...


ПС: мисля, че банвайки тези ИП-та банвам спамерите... което може да се окаже безкрайно... бая айпита са...

 

[Sp0oN]

Re: spam-ерите ме налазиха ...

Re: spam-ерите ме налазиха ...

http://www.tyxo.bg/?ID=27276&show=referers&period=day:2007-10-01
как да ги отрежа тези домейни ? уж ги баннах по айпи-та май-пи-та нищо не става ... идей ???

 

[nullsoft]

Re: spam-ерите ме налазиха ...

Re: spam-ерите ме налазиха ...

От адресите кадето имаш референци съдържат вирус

 

[bgkulinar]

Re: spam-ерите ме налазиха ...

Re: spam-ерите ме налазиха ...

RewriteCond %{HTTP_REFERER} (istarthere\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (datashaping\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (newprinceton\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (xopy\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (tblog\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (eaton-?inc\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (webdevboard\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (devaddict\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (whiteguysgroup\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (guestbookz\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (webdevsquare\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (singles-?christian) [NC,OR]
RewriteCond %{HTTP_REFERER} (dating-?christian) [NC,OR]
RewriteCond %{HTTP_REFERER} (christian-?dating) [NC,OR]
RewriteCond %{HTTP_REFERER} (wildcash) [NC,OR]
RewriteCond %{HTTP_REFERER} (bjsandwich) [NC,OR]
RewriteCond %{HTTP_REFERER} (jewish-?singles) [NC,OR]
RewriteCond %{HTTP_REFERER} (sex-?meetings) [NC,OR]
RewriteCond %{HTTP_REFERER} (swinging) [NC,OR]
RewriteCond %{HTTP_REFERER} (swingers) [NC,OR]
RewriteCond %{HTTP_REFERER} (personals) [NC,OR]
RewriteCond %{HTTP_REFERER} (sleeping) [NC,OR]
RewriteCond %{HTTP_REFERER} (sleep-?disorders) [NC,OR]
RewriteCond %{HTTP_REFERER} (insomnia) [NC,OR]
RewriteCond %{HTTP_REFERER} (libido) [NC,OR]
RewriteCond %{HTTP_REFERER} (herbal) [NC,OR]
RewriteCond %{HTTP_REFERER} (enhancement) [NC,OR]
RewriteCond %{HTTP_REFERER} (sexual) [NC,OR]
RewriteCond %{HTTP_REFERER} (herbal-?sleep-?aid) [NC,OR]
RewriteCond %{HTTP_REFERER} (gabapentin) [NC,OR]
RewriteCond %{HTTP_REFERER} (melatonin) [NC,OR]
RewriteCond %{HTTP_REFERER} (sleep-?deprivation) [NC,OR]
RewriteCond %{HTTP_REFERER} (adult-?finder) [NC,OR]
RewriteCond %{HTTP_REFERER} (adult-?friend) [NC,OR]
RewriteCond %{HTTP_REFERER} (friend-?finder) [NC,OR]
RewriteCond %{HTTP_REFERER} (friend-?adult) [NC,OR]
RewriteCond %{HTTP_REFERER} (finder-?adult) [NC,OR]
RewriteCond %{HTTP_REFERER} (finder-?friend) [NC,OR]
RewriteCond %{HTTP_REFERER} (discrete-?encounters) [NC,OR]
RewriteCond %{HTTP_REFERER} (cheating-?wives) [NC,OR]
RewriteCond %{HTTP_REFERER} (housewives) [NC,OR]
RewriteCond %{HTTP_REFERER} (icooguide) [NC,OR]
RewriteCond %{HTTP_REFERER} (tripod\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (nefv\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (ada-?kz\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (mikeskitchen\.biz) [NC,OR]
RewriteCond %{HTTP_REFERER} (hpsstudent\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (infoaboutdrugs\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (to-mobile\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (welim\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (dnip\.com) [NC,OR]
RewriteCond %{HTTP_REFERER} (atakabg\.net) [NC,OR]
RewriteCond %{HTTP_REFERER} (amateur-?drunk-?teens-?college-?fuck-?fest) [NC,OR]
RewriteCond %{HTTP_REFERER} (jaja-?jak-?globusy\.com) [NC]
RewriteRule .* - [F,L]

Пробвай по този начин (може да запазиш съществуващите, като не забравяш последния ред съдържащ RewriteCond %{HTTP_REFERER} да завършва само на [NC], щото иначе ще прецакаш ситуацията. Ако е реферал спам, този метод няма да действа.

 

[Sp0oN]

Re: spam-ерите ме налазиха ...

Re: spam-ерите ме налазиха ...

съжалявам, но мисля, че не разбрах ... в смисъл че ... тези спамери преди бяха насочени към другият ми домейн ( www.valaroma.org ) и когато го направих 301 към изкуството, те се метнаха на изкуството. Сега в кой .хтаксес да ги напиша тези неща ? във този на валарома или в този на изкуството (или и 2та ?)

Благодаря Ви страшно много, предварително !

 

[bgkulinar]

Re: spam-ерите ме налазиха ...

Re: spam-ерите ме налазиха ...

На изкуството.

 

[Sp0oN]

Re: spam-ерите ме налазиха ...

Re: spam-ерите ме налазиха ...

сработи ! 10х бг кулинар, много ама много много
+карма и бира (като дойдеш в БС)