анонимные прокси:)

Разговоры ни о чём

Модератор: vadim64

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 332
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

анонимные прокси:)

Непрочитанное сообщение Amadeus » 2009-11-13 19:44:55

Привествую, уважаемые, пишу в дев, так как я думаю тут ей самое место:)

Слезно попросили сегодня посмотреть один удаленный сервак на фряхе, на предмет того что у них лег сайт:), который там болтается. и случалось по их словам много раз.
Потратил часа 4 рабочего времени перелапатив все модули апача, мыскуля и т.д на предмет работоспособности а когда нашел в чем дело, немного офигел)))))))))

Код: Выделить всё

[root@mx /]# mysql -be 'select user, host from mysql.user;'
+------------+------+
| user       | host |
+------------+------+
| KompiError | %    |
+------------+------+
начал искать причину данной дребедени, и наткнулся на незапароленный pma во внешний мир:).

Откуда руки растут и что курил тамошний "специалист" вопрос номер 1, но не главный:) когда он вися на телефоне сам все восстанавливал, видимо понял что работать там ему осталось до конца мес:)

Стал искать кто это такой умный наводит бучу, и в логах апача выгребаю след вешь

Код: Выделить всё

66.249.71.148 - - [12/Nov/2009:10:20:50 +0300] "GET /projects/phpadmin/server_pr                                                              ivileges.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_gene                                                              ral_ci&token=bf6e4260b59a226cea8e3892093537b6&username=root&hostname=localhost&d                                                              bname=&tablename=&phpMyAdmin=E4AjHME2pF%2CEPDy7wv6fFtc342d HTTP/1.1" 200 3102 "-                                                              " "Mozilla/5.0 ......"
И тому подобные однотипные записи,

Первый ип, это адрес анонимной прокси, скорее всего.
Есть ли возможность узнать адрес, за ней, т.е первоначальный отправитель, который удалял рута через pma?
Нет ничего невозможного

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35464
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: анонимные прокси:)

Непрочитанное сообщение Alex Keda » 2009-11-13 19:50:36

нет
Убей их всех! Бог потом рассортирует...

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: анонимные прокси:)

Непрочитанное сообщение reLax » 2009-11-13 20:11:22

Ну если это "элитный" прокси - не узнаешь. А так, если только в скриптах присутствовали переменные окружения HTTP_X_FORWARDED_FOR, FORWARDED_FOR, HTTP_XROXY_CONNECTION, HTTP_CLIENT_IP, HTTP_VIA и т.д., возможно если только это был не совсем анонимный прокси, и то, если создавалась таким образом база посетителей.

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 332
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: анонимные прокси:)

Непрочитанное сообщение Amadeus » 2009-11-13 20:28:31

Пусто, ну да бог с ним, сервак не мой, pma я запаролил и предупреждение поставил скидываться админу, о попытках перебора пароля.

Просто задевает факт, что чел, который за все тамошнее хозяйство отвечает пришел туда год назад, когда я там еще работал, на в два раза большую зп, с клятвенным уверением, что обеспечит компании отказоустойчивую плошадку для размешения сайтов))).

Заходи, делай дамп, правь код и т.д)))) вывеску можно было вещать:)

обеспечил блин:). пять балов просто.
Нет ничего невозможного

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: анонимные прокси:)

Непрочитанное сообщение reLax » 2009-11-13 20:49:13

Amadeus писал(а):Пусто, ну да бог с ним, сервак не мой, pma я запаролил и предупреждение поставил скидываться админу, о попытках перебора пароля.

Просто задевает факт, что чел, который за все тамошнее хозяйство отвечает пришел туда год назад, когда я там еще работал, на в два раза большую зп, с клятвенным уверением, что обеспечит компании отказоустойчивую плошадку для размешения сайтов))).

обеспечил блин:). пять балов просто.
Гы-гы. Обеспечил, да уж, MySQL наружу выставил, да так что root'a удалили :)
Ну да ладно, речь не о нем. Запаролить - это, конечно, хорошо.
Я бы на твоем месте все-таки PMA пустил через 443 порт, с принудительной сертификацией + htpasswd (который в свою очередь в итоге будет через SSL проходить).
В этом случае даже по сути никакие "защиты" от брутфорса не нужны, типа таблиц pf overload и т.п.
А вообще, довел бы это дело до его начальства, тем более если ты там им не чужой. А то ведь скажет, что это он проблему решил. Обидно немножко будет, да и ты прав в этой ситуации :)

Аватара пользователя
NIK
рядовой
Сообщения: 18
Зарегистрирован: 2009-09-21 19:38:30

Re: анонимные прокси:)

Непрочитанное сообщение NIK » 2009-11-13 21:48:14

Вопрос не по теме маля..
Вижу что в MySQL'e удалили всех пользователей остался какой-то левак KompiError -- который может зайти с любого хоста с наружи, а чё причиной послужило не понял, что такое pma?

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: анонимные прокси:)

Непрочитанное сообщение reLax » 2009-11-13 21:55:51

NIK писал(а):Вопрос не по теме маля..
Вижу что в MySQL'e удалили всех пользователей остался какой-то левак KompiError -- который может зайти с любого хоста с наружи, а чё причиной послужило не понял, что такое pma?
PhpMyAdmin. Когда тупо root'a прописываешь в конфиге ))

Аватара пользователя
NIK
рядовой
Сообщения: 18
Зарегистрирован: 2009-09-21 19:38:30

Re: анонимные прокси:)

Непрочитанное сообщение NIK » 2009-11-13 22:09:09

reLax писал(а):
NIK писал(а):Вопрос не по теме маля..
Вижу что в MySQL'e удалили всех пользователей остался какой-то левак KompiError -- который может зайти с любого хоста с наружи, а чё причиной послужило не понял, что такое pma?
PhpMyAdmin. Когда тупо root'a прописываешь в конфиге ))
пасиб=) действительно тупо :-D эт даже не взлом! походу ему пароль впадло было всегда вводить...