Главная » Форум » Gentoo Linux » Системное администрирование

телепаты есть?

DenisGavrilov 12 мая, 2013 - 23:54

я дико извиняюсь - незнаю как правильно спросить - потом тему поменяю - то ли тяжелые праздники, то ли у меня воспаление мозга.
обнаружил тут спамера на сайте - начал пробивать ip 95.211.159.87 в яндексе - намек на hosted.by.leaseweb.com - а дальше я не понял.

[root@net]/home/dmg
> grep -inr 'hosted-by.leaseweb.com' /etc                                                              23:43 pts/10
[root@net]/home/dmg
> ping hosted-by.leaseweb.com                                                                          23:43 pts/10
PING hosted-by.leaseweb.com (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=74 time=0.024 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=74 time=0.019 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=74 time=0.047 ms
^C64 bytes from localhost (127.0.0.1): icmp_seq=4 ttl=74 time=0.028 ms
64 bytes from localhost (127.0.0.1): icmp_seq=5 ttl=74 time=0.017 ms
64 bytes from localhost (127.0.0.1): icmp_seq=6 ttl=74 time=0.029 ms
^C
--- hosted-by.leaseweb.com ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 4999ms
rtt min/avg/max/mdev = 0.017/0.027/0.047/0.010 ms
[root@net]/home/dmg
> ping leaseweb.com                                                                                    23:43 pts/10
PING leaseweb.com (85.17.134.129) 56(84) bytes of data.
64 bytes from www.leaseweb.com (85.17.134.129): icmp_seq=1 ttl=57 time=56.3 ms
64 bytes from www.leaseweb.com (85.17.134.129): icmp_seq=2 ttl=57 time=56.5 ms
64 bytes from www.leaseweb.com (85.17.134.129): icmp_seq=3 ttl=57 time=56.1 ms
^C
--- leaseweb.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 56.114/56.322/56.530/0.322 ms

прошу помомощи.

‹ vlans freeipa client ›
»

Стандартная команда выведет

Автор mib, дата создания 13 мая, 2013 - 00:09.

Стандартная команда выведет интересующую информацию

whois ip-адрес

дальше следует обратиться по имеющимся контактным данным к администрации сервера

буду честен, я не знаю, почему у меня все работает

»

whois ->

Автор slepnoga, дата создания 13 мая, 2013 - 00:15.

whois ->

Please attach log.
И не надо в яндексе :) надо номер ASки для начала , потом из рипе тянем владельца сетки.

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Information related to '95.211.146.0 - 95.211.159.255'

% Abuse contact for '95.211.146.0 - 95.211.159.255' is 'abuse@leaseweb.com'
inetnum	 95.211.146.0 - 95.211.159.255
netname	 LEASEWEB
descr	 LeaseWeb
descr	 P.O. Box 93054
descr	 1090BB AMSTERDAM
descr	 Netherlands
descr	 www.leaseweb.com

remarks	 Please send email to "abuse@leaseweb.com" for complaints
remarks	 regarding portscans, DoS attacks and spam.

country	 NL
admin-c	 LSW1-RIPE
tech-c	 LSW1-RIPE
status	 ASSIGNED PA
mnt-by	 OCOM-MNT
source	 RIPE # Filtered

person	 RIP Mean
address	 P.O. Box 93054
address	 1090BB AMSTERDAM
address	 Netherlands
phone	 +31 20 3162880
fax-no	 +31 20 3162890
abuse-mailbox	
nic-hdl	 LSW1-RIPE
mnt-by	 OCOM-MNT
source	 RIPE # Filtered


% Information related to '95.211.0.0/16AS16265'
route	 95.211.0.0/16
descr	 LEASEWEB
origin	 AS16265
remarks	 LeaseWeb
mnt-by	 OCOM-MNT
source	 RIPE # Filtered


% This query was served by the RIPE Database Quer

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

спасибо. со спамером я

Автор DenisGavrilov, дата создания 13 мая, 2013 - 00:47.

спасибо. со спамером я разберусь - понятно, что он через провайдера спамит.
пока тупо - iptables -A INPUT -s 95.211.0.0 -j REJECT
я туплю над этим -

ping hosted-by.leaseweb.com                                                                          23:43 pts/10
PING hosted-by.leaseweb.com (127.0.0.1) 56(84) bytes of data.

и да -
помогите правильную ругань для провайдера написать на английском, никогда с таким раньше не сталкивался. заранее спасибо.
slepnoga, или достаточно логи отправить на тот email?
человек регистрируется на форуме и оставляет кучу профилей со ссылками
есть логи вида 

1|Guest|95.211.159.87|5eed371e15e7f25a0c45eda0486558fa|1368375436|do_register|profile|0|0|http://pol-den.ru/index.php?m=profile&a=register&q=0&refpage=|Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)
264|mewugewa|95.211.159.87|79664a54802dff781dc90b2c67915317|1368375438|rules|profile|0|0||Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)
264|mewugewa|95.211.159.87|79664a54802dff781dc90b2c67915317|1368375439|listusers|profile|0|0||Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)
1|Guest|95.211.159.87|5eed371e15e7f25a0c45eda0486558fa|1368382324|rules|profile|0|0||Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)
1|Guest|95.211.159.87|5eed371e15e7f25a0c45eda0486558fa|1368382326|register|profile|0|0|http://pol-den.ru/index.php?m=profile&a=rules|Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)
1|Guest|95.211.159.87|5eed371e15e7f25a0c45eda0486558fa|1368382340|do_register|profile|0|0|http://pol-den.ru/index.php?m=profile&a=register&q=0&refpage=|Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)
265|boqewise|95.211.159.87|8a87ebfd2c186e7685c82f0d7e28dea8|1368382342|rules|profile|0|0||Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)
265|boqewise|95.211.159.87|8a87ebfd2c186e7685c82f0d7e28dea8|1368382343|listusers|profile|0|0||Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)

итого чел за день зарегился 

grep 95.211.159.87 logs/13_05_12.txt|grep do_register|wc -l                                    0:39:29 pts/4 polden
9

девять раз

»

ну, ладно, комп по этому ip

Автор mib, дата создания 13 мая, 2013 - 01:00.

ну, ладно, комп по этому ip управляется win2008 Standart R2 server, открытые порты

53/tcp    open  domain
3389/tcp  open  ms-wbt-server
49154/tcp open  unknown

цепляйся rdp-клиентом, имя пользователя "Администратор" вход с MIHAIL-PC, похоже на русскоязычного клиента, пароль подбери сам и накажи его не по детски...
(0:
админу пишут письмо в простой форме, можно просто переслать копию спам-писем, в них будет видна техническая информация. На английский поможет перевести 

translate.google.ru

буду честен, я не знаю, почему у меня все работает

»

ну лезть на буржуйский сервак

Автор DenisGavrilov, дата создания 13 мая, 2013 - 01:14.

ну лезть на буржуйский сервак не хочу. или думаете там туннель поднят?
спам писем нет - только куча профайлов со сслылками.
ключевой вопрос почему пинг идет на localhost?

»

Запретить ICMP ping запросы

Автор mib, дата создания 13 мая, 2013 - 01:36.

Запретить ICMP ping запросы не сложно (для iptables)

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

пинги ходить не будут.

Если это не письма, а форум, запретите его по e-mail или ip, либо включить премодерацию. Как бы это целый комплекс мероприятий... Скорее всего спамер использует выделенный сервер и на нем работает программа рассылки.

буду честен, я не знаю, почему у меня все работает

»

mib написал(а): Запретить

Автор DenisGavrilov, дата создания 13 мая, 2013 - 01:59.
mib написал(а):
Запретить ICMP ping запросы не сложно (для iptables)

закрыть не вопрос - вопрос почему dns кидает на localhost

ping hosted-by.leaseweb.com                                                                                                                
PING hosted-by.leaseweb.com (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=74 time=0.017 ms
»

хм, вижу два варианта, или

Автор mib, дата создания 13 мая, 2013 - 03:44.

хм, вижу два варианта, или спамер подготовился или на удаленном сервере кривая настройка... скорее всего - первое

буду честен, я не знаю, почему у меня все работает

»

Гулг говорил, что так

Автор alexanderyt, дата создания 13 мая, 2013 - 17:15.

Гулг говорил, что так задумано. Таким образом наказывают провинившиеся домены.

»

DenisGavrilov

Автор alexanderyt, дата создания 13 мая, 2013 - 17:13.
DenisGavrilov написал(а):
помогите правильную ругань для провайдера написать на английском, никогда с таким раньше не сталкивался. заранее спасибо.

http://www.spamcop.net/ Сам найдёт крайних, сам напишет сообщение и сам отправит.

»

Мне кажется, что

Автор prof-alex, дата создания 13 мая, 2013 - 09:42.

Мне кажется, что hosted-by.leaseweb.com - это затычка от самомго leaseweb.com, как дежурное имя.

»

Именно так.

Автор LinuxDrom, дата создания 19 мая, 2013 - 02:41.

Именно так.

»

смысла нет провайдеру/хостеру

Автор Beelzebubbie, дата создания 13 мая, 2013 - 12:40.

смысла нет провайдеру/хостеру жаловаться. особенно если быдлохакер сидит на сбрученном у быдлошкольника VPS. Анализируйте вредоносную активность и запрещайте ее — на соответствующих уровнях, от iptables до конечного веб-приложения. Каких-то простых, «магических», панецеевидных и 100% эффективных политик не существует.

для iptables очень неплох творческий союз логирования и fail2ban (если гад может быть надежно идентифицирован да этом уровне абстракции)

»

смысла нет провайдеру/хостеру

Автор slepnoga, дата создания 13 мая, 2013 - 13:29.
смысла нет провайдеру/хостеру жаловаться. особенно если быд

Сильно зависит от прова/хостера

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

я по своим логам вижу

Автор Beelzebubbie, дата создания 13 мая, 2013 - 15:42.

я по своим логам вижу ежедневно десятки разных забаненных адресов — руки не отвалятся всем писать? ;)

»

.

Автор slepnoga, дата создания 13 мая, 2013 - 16:27.

.

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

мне такой коммент более по

Автор Beelzebubbie, дата создания 13 мая, 2013 - 22:48.

мне такой коммент более по душе, нежели чем сентенции в «традиционном» стиле. По крайней мере он при той же информативности куда как более лаконичен.

»

а кстати, а тебе пишут/ты

Автор slepnoga, дата создания 19 мая, 2013 - 17:32.

а кстати, а тебе пишут/ты читаешь abuse@ ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

slepnoga написал(а): а

Автор Pinkbyte, дата создания 31 мая, 2013 - 16:57.
slepnoga написал(а):
а кстати, а тебе пишут/ты читаешь abuse@ ?

Мне пишут. Если там то, что я могу пофиксить(белый IP спамера из моей подсети) - караю. Иногда - анально, благо договор позволяет.

Нейтральность - высшее достижение сознания!

»

Pinkbyte

Автор slepnoga, дата создания 31 мая, 2013 - 18:23.
Pinkbyte написал(а):
slepnoga написал(а):
а кстати, а тебе пишут/ты читаешь abuse@ ?

Мне пишут. Если там то, что я могу пофиксить(белый IP спамера из моей подсети) - караю. Иногда - анально, благо договор позволяет.

Вот и у нас тоже читают.

П.С Стесьняюсь спросить - расскажи технологию анально, может я тоже захочу ;)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

slepnoga написал(а): П.С

Автор Pinkbyte, дата создания 3 июня, 2013 - 11:42.
slepnoga написал(а):
П.С Стесьняюсь спросить - расскажи технологию анально, может я тоже захочу ;)

Не врубаем Интернет пока пользователь не даст логов/скриншотов антивируса с законченной проведенной полной проверкой всех дисков. Это ИМХО мегаанально.

Чаще всего(если по пользователю видно что он умный) - просто говорим "почисти комп" и включаем Интернет по устному подтверждению что почистил.

Нейтральность - высшее достижение сознания!

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".