Перейти к содержимому

Фотодром Шираслана. Новое
подробнее
12-й Международный фестиваль циркового искусства «Золотой слон» в Жироне(12th International Circus Festival Gold Elephant in Girona).
подробнее
Животные в цирке- наша жизнь, наша самая большая любовь.
подробнее

Фотография

2 апреля 2013 года в 17:08 был взломан сайт Русциркус.ру


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 14

#1 Александр Рыбкин

Александр Рыбкин

    Дед

  • Администраторы
  • PipPipPipPipPip
  • 21400 сообщений

Отправлено 04 April 2013 - 11:58

2 апреля 213 года в 17:08 был взломан сайт Русцикус.ру. Главная страница сайта не работала, продолжительное время. . Были модифицированы или изменены файлы . Версии специалистов: это вирус, которым были заражены все сайты, расположенные на сервере, что более вероятно и часто бывает, или непосредственно хакер, который намеренно вошел на сервер с целью взлома. Напоминаю, в что в 2006 году был взломан форум. Мною было написано заявление в милицию. В мероприятии приняли участие сотрудники МВД и соответствующий отдел МВД, который занимается компьютерными предступлениями. В итоге хакер был найден. Сегодня в целях предотвращения подобных действий и, после выяснения некоторых технических тонкостей, будет подано заявление в полицию. Чтобы не быть голословным, прилагается информация (логи) для специалистов, которая потверждает данный факт . Кучер , твоя версия, инфу лучше в личку или по телефону 37.139.47.12 - - [02/Apr/2013:17:08:43 +0400] "POST /wp-conf.php?t1968n=1 HTTP/1.1" 200 78921 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:43 +0400] "POST /wp-conf.php?t1968n=1 HTTP/1.1" 200 8076 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:43 +0400] "POST /system_file.php HTTP/1.1" 200 1417 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /testindex.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /banners.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /test.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /rassjlka.php HTTP/1.1" 500 - "-" "-" 2.192.130.91 - - [02/Apr/2013:17:08:44 +0400] "POST /forum/themes66z.php HTTP/1.1" 200 36 "-" "Mozilla/5.0" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /video_1.php HTTP/1.1" 500 - "-" "-" ::1 - - [02/Apr/2013:17:08:44 +0400] "GET / HTTP/1.0" 500 - "-" "Apache (internal dummy connection)" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /ins_share_buttons.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /random_playlists.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /video.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST / HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /system_file.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /cartoon.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /exits.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /regmail.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /search.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /index.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /page.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /transl.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /gucei_new.php HTTP/1.1" 200 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /pp.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /get_ip.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:44 +0400] "POST /poll.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /video_old.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /rss_new.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /statiya.php HTTP/1.1" 200 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /xmlhttp.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /artcatalog.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /photo_transfer.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /guest_book.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /test_mail.php HTTP/1.1" 500 - "-" "-" ::1 - - [02/Apr/2013:17:08:45 +0400] "GET / HTTP/1.0" 500 - "-" "Apache (internal dummy connection)" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /encyc.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /achive_poll_view.php HTTP/1.1" 500 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /pick_.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /pick.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /funny.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /map.php HTTP/1.1" 200 14 "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /rgck_news.php HTTP/1.1" 200 - "-" "-" 2.192.130.91 - - [02/Apr/2013:17:08:45 +0400] "POST /forum/themes66z.php HTTP/1.1" 200 36 "-" "Mozilla/5.0" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /wp-conf.php HTTP/1.1" 200 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /news.php HTTP/1.1" 200 - "-" "-" 37.139.47.12 - - [02/Apr/2013:17:08:45 +0400] "POST /rss.php HTTP/1.1" 500 - "-" "-"

#2 Статуй

Статуй

    моргенал.

  • Модераторы
  • PipPipPipPipPip
  • 13317 сообщений

Отправлено 04 April 2013 - 12:10

Кто то шалит себе потихоньку- кому мешает , непонятно- в самом дальнем и пыльном углу веб забора люди чё то пишут- никто это особо не читает- кому это мешает- тайна сия великая есмь, на том и стоит земля русская.. Саша, тему Брюна надо сохранить - по любому.

#3 Songmaker

Songmaker

    ЭКС - производитель фонограмм

  • Пользователи
  • PipPipPipPipPip
  • 504 сообщений

Отправлено 04 April 2013 - 13:37

Саша, привет. сохрани дамп полный на всяк случай - чето пахнет жареным. потом дамп развернешь где хочется... чтобы не потерять всё.

#4 shiraslan

shiraslan

    Грязь в Цирке ерунда по сравнению с грязью в цирковых душах...

  • премиум
  • 5346 сообщений

Отправлено 04 April 2013 - 16:51

Признаюсь, что 2-го апреля, приблизительно в 17-00 по московскому времени, я получил в свой комп кучу вирусов. С ними, хотя и со скрипом справился мой Касперский.
Вирусы посыпались(штук эдак двадцать троянов), когда я попытался перегрузить несколько фотографий, плохо загруженных в сайт в теме о благотворительной акции Фатимы Гаджикурбановой. Тогда же я написал об этом пользовательнице Фелисии, которая давала информацию об этой акции.
Затем, всё встало на свои места и сайт стал открываться без задержек. Я бы не вспоминал об этом, если бы не сообщение А.Рыбкина о взломе.
Надо же, какому то м-чудаку делать нехрена. И набить бы ему лобешник - вряд ли поймёт. Они, хакеры, неисправимы в своей злобе на весь мир.

:ph34r:


#5 Александр Рыбкин

Александр Рыбкин

    Дед

  • Администраторы
  • PipPipPipPipPip
  • 21400 сообщений

Отправлено 04 April 2013 - 22:19

Лева, очень важная информация, сохрани ее и перешли мне, если есть возможность.

#6 Songmaker

Songmaker

    ЭКС - производитель фонограмм

  • Пользователи
  • PipPipPipPipPip
  • 504 сообщений

Отправлено 05 April 2013 - 16:51

когда я попытался перегрузить несколько фотографий, плохо загруженных в сайт в теме о благотворительной акции Фатимы Гаджикурбановой. Тогда же я написал об этом пользовательнице Фелисии, которая давала информацию об этой акции.
Затем, всё встало на свои места и сайт стал открываться без задержек. Я бы не вспоминал об этом, если бы не сообщение А.Рыбкина о взломе.
Надо же, какому то м-чудаку делать нехрена. И набить бы ему лобешник - вряд ли поймёт. Они, хакеры, неисправимы в своей злобе на весь мир.



Лев, можно поподробней о акции Гаджикурбановой ? Мы в Краснодаре вместе работали - ОНА ВОССТАНОВИЛА НОМЕР !!! Это подвиг, Лев ! Хотел бы принять участие в акции - но пользовательница Фелисия (она же Наталья Стихановская, директор Кисловодского цирка) решила, что моя работа у нее на елках композитором (с невыплаченными авторскими) не позволяет отработать кисловодск через полтора месяца комич. номером. В результате чего очередной простой, моей семье просто не на что жить. нет работы - нет денег.
Но я не об этом. Про Стихановскую пусть вспоминает РАО и Вгаис, прочие судебные исполнители, я не буду про неё помнить никогда...

Хотел бы принять участие в акции Гаджикурбановой - ИЗ УВАЖЕНИЯ К ФАТИМЕ !!!!! МЫ В КРАСНОДАРЕ ВОСХИЩАЛИСЬ ЕЙ ! НАСТОЯЩАЯ ЦИРКОВАЯ ЖЕНЩИНА !!!!
НАСТОЯЩАЯ !!! мало таких...

#7 shiraslan

shiraslan

    Грязь в Цирке ерунда по сравнению с грязью в цирковых душах...

  • премиум
  • 5346 сообщений

Отправлено 05 April 2013 - 23:53

Про благотворительную акцию Фатимы Гаджикурбановой написано здесь:http://www.ruscircus...showtopic=21856
Насчет работы для тебя, конечно, я не сумею помочь. Слишком далеко от цирков нахожусь...

:ph34r:


#8 Songmaker

Songmaker

    ЭКС - производитель фонограмм

  • Пользователи
  • PipPipPipPipPip
  • 504 сообщений

Отправлено 06 April 2013 - 00:48

Лев, я у тебя работы не ищу.. и не про работу вообще. за инфу спасиб))

#9 shiraslan

shiraslan

    Грязь в Цирке ерунда по сравнению с грязью в цирковых душах...

  • премиум
  • 5346 сообщений

Отправлено 06 April 2013 - 02:09

Ну так значит, я тебя неправильно понял! Зато слушаю твои песни регулярно и не делаю авторских отчислений! Перебьёшся без моих сиротских....Пока что, пиши новые!

:ph34r:


#10 Songmaker

Songmaker

    ЭКС - производитель фонограмм

  • Пользователи
  • PipPipPipPipPip
  • 504 сообщений

Отправлено 06 April 2013 - 22:52

договорились ))))

#11 Coacher

Coacher

    Дед

  • премиум
  • 2511 сообщений

Отправлено 07 April 2013 - 15:24

По логам трудно сказать - взлом это или нет. Взломов разных может быть множество, все они как правило цепляются к какой-либо "уязвимости" в работе системных служб. Например, набираем заведомо неверный пароль и с десятого раза сервер нас пропускает, несмотря на то, что пароль не верен, просто "караул устал" - в какой-то n-ый раз система отреагирует невнятно, не так как нужно. Взлом - это частный случай аварийной ситуации системных служб. Они могут быть такими: зависание, падение и неверная реакция - вот последнее и есть цель хакеров. То, что я вижу -это последовательное обращение к.. или запуск подряд множества системных скриптов - того, из чего состоит тело сайта. Нужно посмотреть, что это за файлы, перечисленные в этом списке? Это части движка сайта? На самом деле этот "взлом" может быть следствием сбоя интерпритатора PHP, установленного на стороне провайдера, у них подобных сайтов крутится сотни одновременно. Произошло переполнение и всё, далее полёт не предсказуем. У нас же виртуальный хостинг, не выделенный, когда ваш проект сидит на отдельной машине, а здесь только куча запущенных процессов, каждый из которых - чей-то проект.. Саша, пока нечего писать в личку, я не думаю, что это злой умысел. подробнее: 2 апреля 213 года в 17:08 был взломан сайт Русцикус.ру. Главная страница сайта не работала, продолжительное время. . Были модифицированы или изменены файлы . То, что страница была недоступна -это нормальное дело, может быть просто затык у провайдера. А вот какие файлы были изменены и как? Вот это важно. Версии специалистов: это вирус, которым были заражены все сайты, расположенные на сервере, что более вероятно и часто бывает, или непосредственно хакер, который намеренно вошел на сервер с целью взлома. Что такое вирус? Этот вопрос сродни: "что такое взлом?". Наиболее вероятно на мой взгляд: 1. Обычная халатность админов, которые играют, а не работают, или алчность провайдеров - посадили много людей на ограниченный ресурс и работа стала не стабильной. По аналогии с сетевыми операторами. 2. Отдельные сотрудники в штате провайдера пытались заработать на использовании клиентских проектов. Через какой-то постоянно запускаемый модуль (например, счётчик посещений см внизу страницы, это самое простое) активируют на сайте обращения к какому-то стороннему ресурсу - накручивают кому-то счётчики, голосование, рейтинги, или организуют DOS-атаку. За деньги, естественно. Ничего личного, просто таких людей берут на работу, других нет. В любом случае необходимо планомерно и постоянно архивировать проект, что очевидно и без этого случая, просто норма.

#12 Александр Рыбкин

Александр Рыбкин

    Дед

  • Администраторы
  • PipPipPipPipPip
  • 21400 сообщений

Отправлено 07 April 2013 - 16:04

Спасибо, Кучер, я все понял. Бекап производится регулярно. Согласен, халатность админов хостинга, хотя зачастую они в этом не признаются. Дают лишь советы, которые мы сами знаем.

#13 Александр Рыбкин

Александр Рыбкин

    Дед

  • Администраторы
  • PipPipPipPipPip
  • 21400 сообщений

Отправлено 17 April 2013 - 00:09

Coacher, 16 апреля в 16:10 повторилась атака на РУСЦИРКУС. Почтовый ящик [email protected] заблокирован на отправку сообщений, что скажешь.
Для пользователей это лишь документы документы для специалистов, которые будут представлены в соответствующие службы и не несут никакой угрозы пользователем. Цель: информирование пользователей сайта и форума.

Далее для специалистов,
2992.ovz46.hc.ru техничекое имя на хостинге www.ruscircus.ru

Cообщение хостинг центра.

От кого: Hosting-Center <[email protected]>
Дата: 16 апреля 2013 г., 16:10
Тема: [Ticket#2013041620058966] Уведомление для владельца 2992.ovz46.hc.ru
Кому: [email protected],

Здравствуйте!

Вас беспокоит abuse-служба компании "Хостинг-Центр". Уведомляем Вас, что к нам поступили жалобы о получении спам-сообщений, отправленных при помощи Вашего ресурса 2992.ovz46.hc.ru.

Что такое СПАМ (Несанкционированная рассылка), Вы можете узнать на нашем портале помощи:
http://help.hc.ru/entry/1210/

По условиям Приложения №1 к нашему Договору:

"2.10. Исполнитель вправе приостановить оказание услуг по настоящему Договору в случае использования Заказчиком оказываемых услуг для:

— рассылки спама, а именно электронных сообщений, доставленных пользователям сети Интернет без их предварительного согласия и/или не позволяющих определить отправителя этих сообщений, в том числе ввиду указания в них несуществующего или фальсифицированного адреса отправителя".

Возможность отправки сообщений с Вашего VPS 2992.ovz46.hc.ru ограничена.

С Вашей стороны необходимо принять меры для прекращения рассылки нежелательной корреспонденции. По факту произведенных работ уведомите нас, пожалуйста, ответом на данное сообщение. Технические заголовки и пример спам-сообщения предоставлены во вложении данного уведомления. Благодарим Вас за сотрудничество.

--
С уважением,
Алексей Ковалев
Департамент по работе с клиентами Хостинг-Центра
Телефоны:
+7 495 544-55-66
+7 812 448-30-04
8 800 100-14-14 (для регионов России)
Факс: +7 495 514-09-57
http://hc.ru


ЛОГИ

10m 611 1US4VD-0001XJ-Kz <[email protected]>
[email protected]
10m 615 1US4VE-0001XY-GY <[email protected]>
[email protected]
8m 665 1US4WJ-0001sW-Pk <[email protected]>
[email protected]
8m 662 1US4WP-0001tQ-8Z <[email protected]>
[email protected]
5m 708 1US4a2-00026E-VA <[email protected]>
[email protected]
3m 683 1US4bL-0002Qz-MU <[email protected]>
[email protected]
3m 657 1US4bN-0002Rd-P3 <[email protected]>
[email protected]
3m 670 1US4bO-0002Rj-6B <[email protected]>
[email protected]
3m 657 1US4bb-0002T3-Uj <[email protected]>
[email protected]
2m 665 1US4ct-0002XQ-Ln <[email protected]>
[email protected]
1m 678 1US4di-0002Zx-1g <[email protected]>
[email protected]
1m 672 1US4dj-0002aE-DV <[email protected]>
[email protected]
0m 653 1US4en-0002ea-MU <[email protected]>
[email protected]
==========================================================
1US4en-0002ea-MU-H
webmaster 500 500
<[email protected]>
1366114001 0
-ident webmaster
-received_protocol local
-body_linecount 3
-auth_id webmaster
-auth_sender [email protected]
-allow_unqualified_recipient
-allow_unqualified_sender
-local
XX
1
[email protected]
192P Received: from webmaster by 2992.ovz46.hc.ru with local (Exim 4.63)
(envelope-from <[email protected]>)
id 1US4en-0002ea-MU
for [email protected]; Tue, 16 Apr 2013 16:06:41 +0400
040T To: "Johan Morant" <[email protected]>
045 Subject: RE: SANDWICH mit Schwanz und Dildo
023 X-Priority: 3 (Normal)
018 MIME-Version: 1.0
046 Content-Type: text/html; charset="iso-8859-1"
032 Content-Transfer-Encoding: 8bit
049I Message-Id: <[email protected]>
051F From: Alexandr Ribkin <[email protected]>
038 Date: Tue, 16 Apr 2013 16:06:41 +0400
==========================================================
1US4en-0002ea-MU-D<p><div><a href="

#14 Coacher

Coacher

    Дед

  • премиум
  • 2511 сообщений

Отправлено 17 April 2013 - 22:53

Ну это не атака на Русциркус, а он сам атакует неких адресатов рассылкой рекламы. Что именно он рассылает можно узнать, дав поиск в гугле по фразе: "SANDWICH mit Schwanz und Dildo". Т.е в теле проекта есть активные элементы, которые генерят письма, используя наш почтовый адрес. Без рассылки проект не может жить - мы же должны получать от Русциркуса сообщения. Я например, подписан на новости и мне приходят сообщения от 2992.ovz46.hc.ru - это он самый, почтовый адрес Русциркуса. Так что факт рассылки спама имеет место, отрицать нельзя. Все подобные злоключения - плата за виртуальный хостинг. Я бы рекомендовал с ленинским прищуром взглянуть на нижний край страницы форума. Меня пугает кнопка "Рейтинг Mail.ru"! Как известно - Mail.ru - давно выродился в источник сетевой заразы. Все порядочные люди давно ушли от туда. Нужно немедленно убрать этот банер с кодом из проекта, а заодно и два соседних банера - спокойнее будет. Я лично нарывался на то как подобные закладки с моего сайта шарили по компам посетителей в закрытых областях. Нужно взять за правило - никаких игр в рейтинги, рейтинг Русциркуса прежде всего накручивается поиском с гугла и яндекса, а это довольно приличный уровень. Зачем нам какой-то левый пул рейтингов Mail.ru ? Если человек даст в поисковике запрос по цирковой тематике и выйдет на Русциркус - цель достигнута, далее он пойдёт вглубь сайта и познакомившись, может станет зарегестрированным посетителем. Сегодня Гугл - это стандарт системы поиска информации, всякие другие списки рейтингов выпроваживаем сразу, как бомжей из подъезда.

#15 Coacher

Coacher

    Дед

  • премиум
  • 2511 сообщений

Отправлено 19 April 2013 - 11:16

Уточнения по поводу нелегальной активности Русциркуса. Возможно, что я немного поторопился обвиняя прикреплённые счётчики, всё проще и хуже. нашёл в исполняемых файлах самого сайта (PHP файлы) именно те вредоносные строки с отсылкой писем. Как они там оказались, пока не ясно. Вспоминается похожая история, когда Русциркус упал в рейтинге из-за массового обращения с его страниц по множеству интернет адресов. Саша помнит тот случай, мы тогда разговаривали про это, теперь можно сказать, почти в точности тоже самое! Нового ничего не придумано - просто гадят в скриптах и сайт ведёт себя агрессивно. Скрипты PHP - это не бинарный код, там можно визуально найти вредоносные строки, но из-за большоно количества файлов делать постоянную проверку не возможно. У меня всё же очень стойкое подозрение на недобросовестных сотрудников самого хостера. Но мы вряд ли что-то можем сделать, нужно хотя бы знать - только у нас происходят такие вещи, или в это время и другие сайты так же вели себя. Провайдер вряд ли признает свою вину, (да и будет ли разбираться?) а у нас нет информации, да и была бы - всё равно ничего не поделаешь.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных

  Яндекс цитирования