Vallar_ultra
Любитель выпить :)
http://www.yutex.ru/help_ht.php
Частный случай спама в гостевую
- Автор темы Asar
- Дата начала
Asar
Новичок
Фанату
Вредина.
Фанату и всем
Ура, свершилось. Сегодня хостинг-провайдер наконец-то выложил логи за 19-е число.
По результатам:
В стате гостевой (инфа туда лезет при добавлении сообщения) прописано, что сообщение было 2006-12-19 19:02:31 с IP 83.206.210.131
В логах с этим IP вообще нет ни одного обращения за весь день, точно в это время обращений также нет, а ближайшие соседние -- в 19:02:06 и в 19:04:30.
Первый -- 80.247.36.200 -- в течение всего дня лазил по страницам гостевой, но всегда брал только favicon.ico ("GET /favicon.ico HTTP/1.0" 404 157 "http://www.mysite.ru/feedback/guestbook.php?page=10" "Opera/9.10 (Windows NT 5.1; U; ru)"
)
Второй -- приперся с Рамблеру и больше на человека похож, хотя тоже могу огласить подробности.
Могу предположить, что совпадение по времени не обязательно должно быть абсолютным, на всякий случай порыл +/- 15 минут -- ничего подозрительного похожего на спамовские обращения к гостевой типа www.mysite.ru/feedback/guestbook.php?page=1
&&DI=13&
IG=64afadae4e224616ba9425df120be15d&POS=3&
CM=WPU&CE=3&CS=AWP&SR=3&a
не обнаружил.
Прошу помочь разобраться, о чем такие данные говорят. Если я правильно понимаю, то теперь уже точно страница гостевой для спама не используется?..
З. Ы. В 19.23 в логах начинается прописываться нечто вроде
203.121.69.171 - - [19/Dec/2006:19:23:05 +0300] "GET /feedback/guestbook.php?page=1&&DI=13&IG=1b09b25239c14dcf8ce28129bf3541f7&POS=3&CM=WPU&CE=3&CS=AWP&SR=3&a HTTP/1.0" 200 31471 "http://www.mysite.ru/feedback/guestbook.php?page=1
&&DI=13&
IG=1b09b25239c14dcf8ce28129bf3541f7&POS=3&
CM=WPU&CE=3&CS=AWP&SR=3&a" "Mozilla/5.0 <Windows; U; Windows NT 5.1; en-US; rv;1.8.0.6> Gecko/20060728 Firefox/1.5.0.6"
c разных IP (меняется только последняя цифра)
При этом спам в гостевухе появляется в 19.28
Вредина.
Фанату и всем
Ура, свершилось. Сегодня хостинг-провайдер наконец-то выложил логи за 19-е число.
По результатам:
В стате гостевой (инфа туда лезет при добавлении сообщения) прописано, что сообщение было 2006-12-19 19:02:31 с IP 83.206.210.131
В логах с этим IP вообще нет ни одного обращения за весь день, точно в это время обращений также нет, а ближайшие соседние -- в 19:02:06 и в 19:04:30.
Первый -- 80.247.36.200 -- в течение всего дня лазил по страницам гостевой, но всегда брал только favicon.ico ("GET /favicon.ico HTTP/1.0" 404 157 "http://www.mysite.ru/feedback/guestbook.php?page=10" "Opera/9.10 (Windows NT 5.1; U; ru)"
)
Второй -- приперся с Рамблеру и больше на человека похож, хотя тоже могу огласить подробности.
Могу предположить, что совпадение по времени не обязательно должно быть абсолютным, на всякий случай порыл +/- 15 минут -- ничего подозрительного похожего на спамовские обращения к гостевой типа www.mysite.ru/feedback/guestbook.php?page=1
&&DI=13&
IG=64afadae4e224616ba9425df120be15d&POS=3&
CM=WPU&CE=3&CS=AWP&SR=3&a
не обнаружил.
Прошу помочь разобраться, о чем такие данные говорят. Если я правильно понимаю, то теперь уже точно страница гостевой для спама не используется?..
З. Ы. В 19.23 в логах начинается прописываться нечто вроде
203.121.69.171 - - [19/Dec/2006:19:23:05 +0300] "GET /feedback/guestbook.php?page=1&&DI=13&IG=1b09b25239c14dcf8ce28129bf3541f7&POS=3&CM=WPU&CE=3&CS=AWP&SR=3&a HTTP/1.0" 200 31471 "http://www.mysite.ru/feedback/guestbook.php?page=1
&&DI=13&
IG=1b09b25239c14dcf8ce28129bf3541f7&POS=3&
CM=WPU&CE=3&CS=AWP&SR=3&a" "Mozilla/5.0 <Windows; U; Windows NT 5.1; en-US; rv;1.8.0.6> Gecko/20060728 Firefox/1.5.0.6"
c разных IP (меняется только последняя цифра)
При этом спам в гостевухе появляется в 19.28
Vallar_ultra
Любитель выпить :)
что говорит база?
Vallar_ultra
Любитель выпить :)
Юморист 
запроси логи у мускуля. Логи живут там, где прописаны в my.conf, но самое мерзкое что они не пишутся по умолчанию
Кстати, а спам так и продолжает ходить? ты пароль к базе поменял, левых юзеров в системе и базе убил?
запроси логи у мускуля. Логи живут там, где прописаны в my.conf, но самое мерзкое что они не пишутся по умолчанию
Кстати, а спам так и продолжает ходить? ты пароль к базе поменял, левых юзеров в системе и базе убил?
Vallar_ultra
Любитель выпить :)
просто очень смахивает что хост поломали и там какой-то бэк-дор либо левый пользователь в базе завелся.....
Asar
Новичок
Фанат
Есть.
До того, как выкинул форму и т. п. были например:
POST /feedback/guestbook.php HTTP/1.0" 200 31791 "http://www.mysite.ru/feedback/guestbook.php?page=1
&&DI=118&
IG=007c9e16f0f345a79ddf534cd4af5f2b&POS=1&
CM=WPU&CE=1&CS=AWP&SR=1&
После этого тоже есть, но уже:
POST /feedback/guestbook.php HTTP/1.0" 200 31471 "http://www.mysite.ru/feedback/guestbook.php
PS. По поводу ремоте_адресов -- я не говорил, что там обязан быть настоящий. Но для начала можно и по такому проверить -- вдруг.
-~{}~ 22.12.06 15:45:
Смена пароля помогла, сейчас буду смотреть, изменится ли что-нибудь при возвращении гостевухи.
Статистику БД хостер предоставлять упорно не хочет, но намекает, что сам глянет. Ждемс...
-~{}~ 22.12.06 18:58:
Я хостеру: а гляньте БД, раз мне стат не выдаете, а то у меня скриптов в гостевой уже нету, а спам валится.
Хостер мне: Ну, эт вряд ли дело в БД, у нас все круто защищено. Наверное, дело в вашем скрипте...
Есть.
До того, как выкинул форму и т. п. были например:
POST /feedback/guestbook.php HTTP/1.0" 200 31791 "http://www.mysite.ru/feedback/guestbook.php?page=1
&&DI=118&
IG=007c9e16f0f345a79ddf534cd4af5f2b&POS=1&
CM=WPU&CE=1&CS=AWP&SR=1&
После этого тоже есть, но уже:
POST /feedback/guestbook.php HTTP/1.0" 200 31471 "http://www.mysite.ru/feedback/guestbook.php
PS. По поводу ремоте_адресов -- я не говорил, что там обязан быть настоящий. Но для начала можно и по такому проверить -- вдруг.
-~{}~ 22.12.06 15:45:
Смена пароля помогла, сейчас буду смотреть, изменится ли что-нибудь при возвращении гостевухи.
Статистику БД хостер предоставлять упорно не хочет, но намекает, что сам глянет. Ждемс...
-~{}~ 22.12.06 18:58:
Я хостеру: а гляньте БД, раз мне стат не выдаете, а то у меня скриптов в гостевой уже нету, а спам валится.
Хостер мне: Ну, эт вряд ли дело в БД, у нас все круто защищено. Наверное, дело в вашем скрипте...
Vallar_ultra
Любитель выпить :)
2Asar
Забавный хостер, который статистику не дает.... если не секрет, то что это за контора?
Забавный хостер, который статистику не дает.... если не секрет, то что это за контора?
Vallar_ultra
Любитель выпить :)
2Asar
Ну посмотри чё будет если вернуть скрипт на родину.... если спам возобновиться, тогда дело действительно в скрипте.....
А вот от мастерхоста я такого не ожидал! Спасибо что сказал
Ну посмотри чё будет если вернуть скрипт на родину.... если спам возобновиться, тогда дело действительно в скрипте.....
А вот от мастерхоста я такого не ожидал! Спасибо что сказал
Asar
Новичок
Звонил для ради сравнения в Питерхост. Так вот:
У них спец на техподдержке не знает, ведется ли у них статистика БД и можно ли клиенту ее получить.
:--)
Нет пределов совершенству.
З.Ы. Порекомендовал мне написать им письмо, типа они постараются передать его крутому патцану, который вроде знает про БД...
-~{}~ 24.12.06 17:46:
Последний ответ Мастерхоста:
Здравствуйте!
Для подключения к базе данных злоумышленники могли использовать
либо SSH-тунелирование, либо web-интерфейс phpMyAdmin.
Журналы доступа к базе данных нами не хранятся.
Всего доброго.
У них спец на техподдержке не знает, ведется ли у них статистика БД и можно ли клиенту ее получить.
:--)
Нет пределов совершенству.
З.Ы. Порекомендовал мне написать им письмо, типа они постараются передать его крутому патцану, который вроде знает про БД...
-~{}~ 24.12.06 17:46:
Последний ответ Мастерхоста:
Здравствуйте!
Для подключения к базе данных злоумышленники могли использовать
либо SSH-тунелирование, либо web-интерфейс phpMyAdmin.
Журналы доступа к базе данных нами не хранятся.
Всего доброго.
Vallar_ultra
Любитель выпить :)
Asar
Журналы доступа к базе данных нами не хранятся.
Круто блин...... Вобщем меняй пароли и делай логи любых обращений к базе из своих скриптов.
Журналы доступа к базе данных нами не хранятся.
Круто блин...... Вобщем меняй пароли и делай логи любых обращений к базе из своих скриптов.