Просмотр полной версии : Опять вредители
CityAceE
26.02.2005, 14:24
Обратите внимание на счетчик посещаемости - похоже нас опять пытаются ломать :( Некто с адресов 66.196.90.xxx-66.196.91.xxx подключился несчетное количество раз и полез по всем ссылкам. Не знаю какую цель преследуют сии действия, но факт остается фактом. На этом фоне несколько странно выглядит новый зарегистрировавшийся пользователь http://zx.pk.ru/member.php?u=212 с IP 200.73.174.183. Пожалуй я этого пользователя удалю!
А в остальном даже не знаю что и делать...
Это боты поисковиков. Они всегда ходят с кучи IP-ов и шерстят все ссылки на форуме. К примеру, у нас был рекорд - около 120 одновременных подключений, какой именно поисковик индексировал уже не помню.
http://www.nic.ru/whois/?ip=66.196.90.0
Это боты поисковиков. Они всегда ходят с кучи IP-ов и шерстят все ссылки на форуме. К примеру, у нас был рекорд - около 120 одновременных подключений, какой именно поисковик индексировал уже не помню.
http://www.nic.ru/whois/?ip=66.196.90.0
Поисковик в 450 соединений? Это какой-то DoS-поисковик: кого найду, «заищу» до упаду… Кстати на WWW.YAHOO.COM по фразе «хочу меняться zx-архивами» ничего подходящего не находится. Хотя у поисковиков индексация «найденного» проводится раз в сутки.
На этом фоне несколько странно выглядит новый зарегистрировавшийся пользователь http://zx.pk.ru/member.php?u=212 с IP 200.73.174.183. Пожалуй я этого пользователя удалю!
У этого пользователя забавно читается (на английский манер) имя:
tb2t5cui2b - тиби-тути-файв-кью-туби И адрес его, явный прокси из "кривой" аргентинской сети. Или у нас тут аргентинские любители Speccy завелись?
Поисковик в 450 соединений? Это какой-то DoS-поисковик: кого найду, «заищу» до упаду…
На счет 450 не знаю, но вообще, именно так они и ходят, стаями.
Можно защититься с помощью robots.txt от правильных поисковиков. Яндекс, к примеру его читает. Но есть и такие, которым пофик.
wl[illusion]
26.02.2005, 21:35
Обратите внимание на счетчик посещаемости - похоже нас опять пытаются ломать :( Некто с адресов 66.196.90.xxx-66.196.91.xxx подключился несчетное количество раз и полез по всем ссылкам. Не знаю какую цель преследуют сии действия, но факт остается фактом. На этом фоне несколько странно выглядит новый зарегистрировавшийся пользователь http://zx.pk.ru/member.php?u=212 с IP 200.73.174.183. Пожалуй я этого пользователя удалю!
А в остальном даже не знаю что и делать...
Я как админ форума Сети ForestNet тебе могу пару интересных вещей рассказать насчет взлома.
Во-первых, вы молодцы, что не поставили phpBB - это самый дырявый форум, к нему более 1000 эксплоитов есть, хотя vBullet тоже не без дырок, но все ж таки поменьше.
Дальше, есть такое понятие - флуд ботов, не знаю встречался ты или нет, но они есть. У нас например на форуме есть раздел: "ForestNet - Flame" - туда могут писать все юзеры без ограничений, и туда как минимум один раз в неделю пишет какой-нибудь бред спам-бот. То проститука какая-то себе мужа ищет и дает линк куда-то, то вопрос кто-то какой-то тупой задает, а потом ему с этого же IPшника но с другим ником ответ пишут и ссылку куда-то дают ;) в любом случае, они дают ссылки на разные странные сайты.
У того же phpBB есть вообще прекрасная дырка, через которую его захватывает червь, полностью поражает всю базу данных, потом с этого форума переходит на новый такой же форум и продолжает заражение.
Потом еще просто можно зафлудить форум, но обычно сами форумы от этого имеют защиту... а на простые входы/выходы можно и забить... правильно говорят, это может быть простой поисковый бот. К нам на форум только Гугльсковый бот за день раз 40 заходит... правда у него IP-адрес обычно одинаковый...
']
У того же phpBB есть вообще прекрасная дырка, через которую его захватывает червь, полностью поражает всю базу данных, потом с этого форума переходит на новый такой же форум и продолжает заражение.
В версии 2.0.11 от декабря 2004 вроде все дыры залатали
На счет 450 не знаю, но вообще, именно так они и ходят, стаями.
Можно защититься с помощью robots.txt от правильных поисковиков. Яндекс, к примеру его читает. Но есть и такие, которым пофик.
Можно защититься через robots.txt, но тогда сюда не будут ходить боты с yahoo, yandex, google, MSN и др. - тогда притока новых юзеров через поисковики можно не ждать, а это как известно самый жирный канал пополнения посещаемости.
Можно защититься через robots.txt, но тогда сюда не будут ходить боты с yahoo, yandex, google, MSN и др. - тогда притока новых юзеров через поисковики можно не ждать, а это как известно самый жирный канал пополнения посещаемости.
сдается мне, что 200 местных юзеров не через гугл zx.pk.ru нашли.
Можно защититься через robots.txt, но тогда сюда не будут ходить боты с yahoo, yandex, google, MSN и др. - тогда притока новых юзеров через поисковики можно не ждать, а это как известно самый жирный канал пополнения посещаемости.
Можно же запрещать в robots.txt не весь форум, а только определенные скрипты. Не знаю как в этом движке, думаю newreply.php нужно запретить индексировать, чтобы поисковики выдавали ссылку на просмотр темы, а не на форму ответа.
Но это уже другая тема пошла... :)
Это боты поисковиков. Они всегда ходят с кучи IP-ов и шерстят все ссылки на форуме. К примеру, у нас был рекорд - около 120 одновременных подключений, какой именно поисковик индексировал уже не помню.
Пример - сегодня мой форум имел счастье иметь близкие отношения с гуглеботами в количестве 25 штук одновременно - у всех один и тот же IP :wink:
Gobolino
01.03.2005, 09:57
сдается мне, что 200 местных юзеров не через гугл zx.pk.ru нашли.
А вот и через Гугл :)
По личным наблюдениям за статистикой, 80-90% заходов с поисковиков - это Яндекс. Далее гугл, чуть поменьше рамблер, совсем мало - апорт.
Прикладываю для иллюстрации кусок лога статистики. Тогда как раз и бродили по форуму больше сотни ботов одновременно.
Это глюк, или на форуме сейчас действительно более 200 человек?!?
Это глюк, или на форуме сейчас действительно более 200 человек?!?
У счетчика крыша поехала или "нашествие клонов" :)
"Рекорд одновременного пребывания 494, это было 28-03-2005 в 12:36."
Мне кажется, глюк счетчика.
"Рекорд одновременного пребывания 494, это было 28-03-2005 в 12:36."
Мне кажется, глюк счетчика.
Самое интересное, что "спад" был довольно медленным, такое ощущение, будто на форум нахлынула "волна" пользователей, а затем она медленно так "сошла".... Интересно...
Самое интересное, что "спад" был довольно медленным, такое ощущение, будто на форум нахлынула "волна" пользователей, а затем она медленно так "сошла".... Интересно...
скорее всего, это были поисковые роботы и/или попытка атаки. второе вероятнее
CityAceE
28.03.2005, 18:46
Пришлось в очередной раз скидывать счетчик в ноль...
Пришлось в очередной раз скидывать счетчик в ноль...Придется еще раз. Враги ни как не успокоятся. IP адреса наших "доброжелателей" на этот раз: 68.142.249.хх-68.142.251.хх
Придется еще раз. Враги ни как не успокоятся. IP адреса наших "доброжелателей" на этот раз: 68.142.249.хх-68.142.251.хх
Whois:
OrgName: Inktomi Corporation
OrgID: INKT
Address: 4100 East Third Avenue
City: Foster City
StateProv: CA
PostalCode: 94404
Country: US
NetRange: 68.142.192.0 - 68.142.255.255
CIDR: 68.142.192.0/18
NetName: INKTOMI-BLK-4
NetHandle: NET-68-142-192-0-1
Parent: NET-68-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.YAHOO.COM
NameServer: NS2.YAHOO.COM
NameServer: NS3.YAHOO.COM
NameServer: NS4.YAHOO.COM
NameServer: NS5.YAHOO.COM
Comment: For general abuse contact
[email protected].
Comment: For Web Crawler questions please visit
Comment: http://help.yahoo.com/help/us/ysearch/slurp/
RegDate: 2004-03-24
Updated: 2005-02-18
AbuseHandle: NA258-ARIN
AbuseName: Netblock Admin
AbusePhone: +1-408-349-3300
AbuseEmail:
[email protected]
OrgTechHandle: ZI35-ARIN
OrgTechName: Inktomi Corporation
OrgTechPhone: +1-650-653-2800
OrgTechEmail:
[email protected]
мож это опять боты? че было-то?
мож это опять боты? че было-то?Уж очень много ботов.
Уж очень много ботов.
Не понял!!!чё за глюк?в аттаче числится мой ник в 13:18
Я на работе был в это время и на форуме меня не было!!!???
Ага! Вот и выловили кул хацкера, кто все поломал! :smile: Шутка.
13:18 это время когда был пик посещаемости, а не момент скриншота, который был сделан позднее.
мож это опять боты? че было-то?
Inktomi - поисковик. Так что всё в законе :) .
CityAceE
18.05.2005, 15:10
В очередной раз обнулил счетчик посетителей. Но сдаётся мне, что к концу месяца снова будет атака этого поисковика...
К нам в гости опять заполз паучок. Он не злой, но "лапок" у него о-очень много...
CityAceE
27.05.2005, 12:57
Ага, значит всё-таки мои настройки, которые я прописал вручную, принесли плоды и этот злобный паук начал распознаваться :)
CityAceE
12.10.2005, 08:56
Обучил форум ещё одному пауку - Yandex.
Если кто-то сможет определить среди "Гостей" по IP ещё каких-нибудь Пауков, сообщайте мне...
CityAceE
30.11.2005, 10:32
Обнаружил, что по нашему форуму среди гостей шерстит Microsoft... Хотел обучить форум и этому Пауку, но введя в качестве идентификатора слово MICROSOFT, обнаружил, что форум всё равно не различает этого Паука. Может кто-то подскажет как определить идентификатор?
IP Microsoft-робота был 65.54.188.69
Из настроек форума:
"Идентификаторы поисковых машин:
Введите уникальные идентификаторы для каждой поисковой машины (поискового робота), которую вы хотите распознавать. Это должна быть уникальная строка, содержащаяся в HTTP USER AGENT этой поисковой машины. Указывайте по одному идентификатору в строке. Регистр не важен."
Обратите внимание на счетчик посещаемости - похоже нас опять пытаются ломать :( Некто с адресов 66.196.90.xxx-66.196.91.xxx подключился несчетное количество раз и полез по всем ссылкам. Не знаю какую цель преследуют сии действия,
Засланцы из Империи Зла -- Microsoft Corporation. Пытаются душить,
гады, альтернативную PC платформу ZX-Spectrum. Дадим отпор врагу!
Враг будет разбит победа будет за нами! Бей виндов, спасай россию!
Придется еще раз. Враги ни как не успокоятся. IP адреса наших "доброжелателей" на этот раз: 68.142.249.хх-68.142.251.хх
http://www.inktomi.com/
Дочерняя контора от yahoo-чего-то-там занимается в том числе
и поисковыми серверами, вроде как.
А то сразу засланцы, засланцы...
Обучил форум ещё одному пауку - Yandex.
Если кто-то сможет определить среди "Гостей" по IP ещё каких-нибудь Пауков, сообщайте мне...
зачем извращаться с ip, когда каждый нормальный робот содержит в статусе агента свое имя. Есть даже специальные базы для идентификации ботов...
зачем извращаться с ip, когда каждый нормальный робот содержит в статусе агента свое имя. Есть даже специальные базы для идентификации ботов...
Дык отец родной и спрашивает про имя этого паука :) Поделись линком на базу имён, если есть.
линки искать влом, но если нужно вышлю на email свою базу
CityAceE
02.12.2005, 02:56
линки искать влом, но если нужно вышлю на email свою базу
Конечно высылай! Только в теме укажи "ZX", а то письмо попадёт в спаморезку!
Конечно высылай! Только в теме укажи "ZX", а то письмо попадёт в спаморезку!
выслал
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved. Перевод: zCarot