ложут сервер!dos

Так никто и не отснифил трафик ?

Тут есть кто о фаерволах еще не слышал, а ты уже про сниффер :biggrin:

maarik со сплойтом пропал чтото ...

Fedcomp,
Я никуда не пропадал, а просто уезжал на соревнования.

братишка maarika=)))) все мы тут браятья=))))
Ты скинеш прогу чтоб валить сервера ddos atac?
они мне валят, а я чем хуже????=)))

акаунт beta16 пароль 123
рейтинг накрученый, пользуйтесь, нежалко=) ток сильно не терзайте



я считаю что забанить подсеть подойдёт как временное решение проблемы, пока не сделают защиту

держу сервер 2 с лишним месяца, пока не нарвался на такого

Barinok,
Пиши в асю

Блин выложите кто этот сплойт хоть в бинарном виде без исходников и мы с энди его по кусочкам разберём методом дизасма или того проще протестить на локальном сервере и сосниффить идущие пакеты.
maarik,
а чего ты не можешь по удалёнке скопировать себе файл на комп?) Если там стоит разрешение на только чтение и выполнение, то всё равно можно копировать.

Проблема в том что кто то не хочет чтобы на сплойт появилась защита и на нем нельзя было делать деньги

Нашли на чём бабло делать - на чужом горе наживаются скоты.

Знаешь как сейчас хорошо навариваются на ддосе сайтов?
боюсь эксплойт попадет в наши руки нескоро

maarik напиши пожалуйста в icq : 397731591 ... Надо проверить заплатку ( прошу тебя т.к. те кто досил сервера уже в бане =) и проверить на них не могу )

Toxa001,
Написал

Сегодня с утра болгары опять взялись за своё ... отснифал трафик , и обнаружил странную штуку ... сплойт подключается к серверу с одного порта (отображается в консоли сервера ) , а в логах снифера совсем другой порт ... и других там нету , тестировал 4 раза , все равно одно и тоже.

Кто хочет поковыряться в логах стучите в icq: 397731591

По логам, которые скинул Toxa001, удалось сэмулировать эксплоит. У себя в сетке пробовал, валит все серваки кроме одного, в ответ приходит "Get lost Lamer! Protected by AntiCSDoS by Shocker".

Отсюда вывод:
Либо в логах был зафиксирован старый эксплоит, которого AntiCSDoS удачно ловит.
Либо на том серваке как-то по замудренному настроен AntiCSDoS, и распознает неизвестную гадость. Ибо тут говорили что тестили со включенным AntiCSDoS, и не помогало.

Шокер новую версию часом не выпускал?

Version 3.2
Updated 03/24/2008

Это последняя версия

v 3.2 не спасает от него (от нового сплойта)

Отправляется запрос Getchallenge, для получения номера.
Потом этот номер ставиться в запрос конекта и отправляется:


А потом отправляется такой же запрос, но с модифицированными raw,cdkey,name и с другого source port'a.


И бабах..

Но это старый трюк, точнее подмена source port это новая реализация, а вот AntiCSDoS рагуется именно из за слеша в конце запроса.


Вот всю эту инфу удалось вынуть из логов, почему при атаке Эксплоита AntiCSDoS не ругается, а при атаке эмулятора - ругатется, пока не понятно :)

В логах Линуха выглядит так

[connect 47 1899384797 "\prot\2\raw\1985753c9cfe1a28296c3d3ff2b612da" "\_cl_autowepswitch\1\cl_dlmax\80\cl_lc\1\cl_lw\1\cl_updaterate\1000\_ah\0\ah\0\dm\0\_vgui_menus\1\lang\ru\rate\25000\*FA \5QE3H1B2RJ6EC31CS0VA\*FH\96ab944173\bottomcolor\0\topcolor\0\model\0\name\BeastBoy"#012°ИҐ·<G¬·#030ЦЅї¤‰уµёЦЅї<G¬·xФЅї` Т·#030ХЅї<G¬·аeчµМЋуµШЦЅї]

connect 47 1946967899 "\prot\2\raw\54741752c8031016d873cf041391a7aa" "\_cl_autowepswitch\1\cl_dlmax\128\cl_lc\1\cl_lw\1\cl_updaterate\30\name\BuFu\_pw\1234\\1\_vgui_menus\1\_ah\1\rate\25000\*FA \E10GS3CNRJ6EC31CS0VA\*FH\25bfe08efb\*fid\0\bottomcolor\0\topcolor\0\model\0"#012ј†™їP№¤·<ч§·˜г'¶#001]


[connect 47 127664343 "\prot\2\raw\6212c02d9f28ce1f1665de10dd6221cc" "\_cl_autowepswitch\1\cl_dlmax\80\cl_lc\1\cl_lw\1\cl_updaterate\20\name\zaeka\status_monitor\0\_pw-home\nevena\_vgui_menus\1\_ah\1\rate\35000\*FA \PFD110K1BBZKNBRJ6EC3\*FH\f348741a03\*fid\0\bottomcolor\0\topcolor\0\model\0"#0128рТї˜оТїЊоТїфоТї°иЉ·<g‘·˜оТїЬ¬#004¶8пТї]



Меняются значения cl_dlmax и cl_updaterate

Зы: Endi Зделай заплатку и людям поможешь и себя пропиаришь с хорошей стороны :)