Нашел критическую уязвимость сайта.
1. T-S (23.02.2014 / 18:50)Можно создавать ошибку 500)
Добавлено через 01:02 сек.
Через 30 мин. Попробую отключить этот сайт на пару минут.
2. юЮЮфюв (23.02.2014 / 18:55)
Было бы правильнее сообщить об этом лично Вантузу
3. T-S (23.02.2014 / 19:07)
2. TakteS, а кто это?
4. JustZero (23.02.2014 / 19:12)
3. T-S, владелец сайта
Добавлено через 00:58 сек.
зачем ждать 30 минут?
покажи что ты там нашел сейчас
Добавлено через 03:12 сек.
верю... только что было 500
5. юЮЮфюв (23.02.2014 / 19:16)
Да, была ошибка. Хватит)
6. KpuTuK (23.02.2014 / 19:17)
alexandr.sytnyk (23 Февраля 2014 / 19:12)было))
3. T-S, владелец сайта
Добавлено через 00:58 сек.
зачем ждать 30 минут?
покажи что ты там нашел сейчас
Добавлено через 03:12 сек.
верю... только что было 500
7. JustZero (23.02.2014 / 19:17)
http://visavi.net/pages/user.php?uz=Vantuz&
Добавлено через 00:17 сек.
пиши ему)
хватит уже 500)
8. T-S (23.02.2014 / 19:21)
Проблема в плохом конфигурировании самого сервера. В логах все должно быть у вашего вантуза
9. NicAn (23.02.2014 / 19:34)
хакер =(
10. Вантуз-мен (23.02.2014 / 19:45)
8. T-S, давай колись где там плохо настроен сервер
11. T-S (23.02.2014 / 20:51)
10. Vantuz, sudo ulimit -n? не удивлюсь если стоит дефолтное значение.
Добавлено через 01:00 сек.
Так же ствавь таймаут поменьше на ожидание данных от клиента
12. Вантуз-мен (23.02.2014 / 21:20)
в /etc/security/limits.conf все прописано как нужно и далеко не дефолтное значение
13. T-S (23.02.2014 / 21:27)
Сайт ложится созданием висящих сокетов на 80ый порт. Грепни лог в nginx на 500
Добавлено через 01:04 сек.
Если конечно не стоит связка с апачем
14. T-S (23.02.2014 / 22:59)
Vantuz (23 Февраля 2014 / 21:20)Кстати ты смотри не на limits.conf а на ulimit -n в полне возможно что nofile сброшен в дефолтное значение из за некорректного limits.conf
в /etc/security/limits.conf все прописано как нужно и далеко не дефолтное значение
15. Кевин Митник (23.02.2014 / 23:31)
сервак настроен для работы, а от данного вида атаки большая часть серваков рунета не защищена.
16. ramzes (23.02.2014 / 23:48)
16. Кевин Митник_HHTeam, убери из поста описание атаки. ща школьники пойдут валить сайты направо и налево..
17. Кевин Митник (24.02.2014 / 00:00)
17. ramzes, убрал.
если не ошибаюсь, существует с 2009 года. голый апач, lighthttpd никаким образом нельзя защитить. nginx спасает, но вот хз что было упущено в настройке сервера для висави, что он упал. с теорией как бы знаком, и все такое
18. ramzes (24.02.2014 / 00:12)
18. Кевин Митник_HHTeam, на хабре ради интереса почитал, занятно выходит в комплете с Тором
провели атаку на его nginx/0.8.54, причем атака проводилась через TOR с частой сменой IP. Результатом был упавший сервер — лишь изредка проскакивали нормальные страницы, все чаще появлялись ужасы из подземелий 500ые ошибки, наконец сервер вообще перестал что-либо выдавать.
Скорее всего, в NGINX сервере, который я положил, кэширование клиентских запросов было отключено
19. Кевин Митник (24.02.2014 / 00:40)
19. ramzes, проблема решилась ограничением одновременных коннектов с одного ip, увеличением лимита коннектов в целом, запретом принимать заголовки "Range" и "Request-Range"
20. T-S (24.02.2014 / 01:49)
19. ramzes, Я даже над медленным постом не парился. Тупо создавал столько сокетов сколько жертва могла принять. Как правило по дефолту стоит лимит на пару тысяч.
Добавлено через 01:58 сек.
Это тестил свой сервер. Решил пройтись тестировщиком по знакомым сайтам.
21. T-S (24.02.2014 / 02:00)
Кстати с этим чудом можно попробовать и другие уязвимости но меня как то не прет. http://visavi.net/gallery/index.php?act=view&gid=2616&start=0
22. Neformat (24.02.2014 / 16:14)
Кевин Митник_HHTeam (24 Февраля 2014 / 00:40)
апретом принимать заголовки "Range" и "Request-Range"
Это вроде как пофиксили еще в апаче 2.2.20, или чего то упустил?
23. Кевин Митник (25.02.2014 / 20:51)
23. Neformat, ага. А nginx, который фронтенд, неуязвим к этому, но сигнальные сигнатуры почему-то присутствовали, и атака происходила. От греха подальше закрыл в nginx.
24. Neformat (26.02.2014 / 12:01)
Кевин Митник_HHTeam (25 Февраля 2014 / 20:51)Вот что то я не соображу, как добавить сие счестье в конфиг nginx чтобы оно ко всем сразу хостам применялось.
23. Neformat, ага. А nginx, который фронтенд, неуязвим к этому, но сигнальные сигнатуры почему-то присутствовали, и атака происходила. От греха подальше закрыл в nginx.
25. Кевин Митник (26.02.2014 / 14:51)
25. Neformat, к сожалению никак. Тема на хабре была об этом. Только инклуд в каждый location в server, или просто вставить две строки.
26. Neformat (26.02.2014 / 19:17)
Кевин Митник_HHTeam (26 Февраля 2014 / 14:51)
25. Neformat, к сожалению никак. Тема на хабре была об этом. Только инклуд в каждый location в server, или просто вставить две строки.
Ну тогда обрежем эти заголовки через mod_headers.
URL: https://visavi.net/topics/40181