מי תוקף את האתר שלי?

בימים האחרונים יש תנועה חריגה לאתר שלי (מעל ל- 5000 כניסות יומיות מאותה הכתובת). ב- Firestat אני רואה שכל 3 שניות הכתובת העלומה פונה לדף הראשי. יש רעיונות (לפני שה- hacker / או מי שזה לא יהיה יצליח לפרוץ לאתר שלי)?
הערה:  הגורם העלום כנראה משתמש בדביאן ופיירפוקס, ולפי כתובת ה- IP מקורו באמסטרדם. הוא מישראל (netvision)

hack.png

My Signature
פורסם בקטגוריה לינוקס ותוכנה חופשית. אפשר להגיע לכאן עם קישור ישיר.

29 תגובות בנושא מי תוקף את האתר שלי?

  1. מאת ik_5‏:

    למה firestarter טוען שהIP מישראל ?

    נראה ד"א שהIP לא מגיב לפינג, לא לפורט 80 ולא לפורט 443.

    אתה יכול ד"א להתלונן על abuse לספק, אבל יכול להיות שזה בכלל קשור לanonymizer ולא למשהו אחר.

  2. מאת Amit‏:

    אני הייתי פשוט חוסם את האיי פי ולא מאפשר לו גישה לאתר.
    אני מבין שהאתר שלך מאוכסן על מחשב פרטי אז הרבה יותר פשוט לשלוט בו.

  3. מאת חזי‏:

    נשמע כאילו שמישהו התפגר ונפל על העכבר 😉

  4. מאת ilanshavit‏:

    Amit
    האתר מתארח ב- Godaddy, כך שאין לי כ"כ שליטה לגבי אפשרות הכניסה לאתר שלי (מעניין אם בוורדפרס יש אפשרות לחסום IP מסויים. ב- Firestat דווקא יש אבל זה לא עוזר לי…)

    עידו:
    לאיזה ספק לפנות? ל- Godaddy?

    לגבי הכתובת:
    טעיתי ואכן מדובר בכתובת בישראל. הפקודה whois 89.139.229.79 מספקת את הפלט הבא:

    inetnum: 89.139.224.0 – 89.139.255.255
    netname: BB-HFA
    descr: broadband for HFA
    country: IL
    admin-c: NN105-RIPE
    tech-c: NN105-RIPE
    status: ASSIGNED PA
    mnt-by: NV-MNT-RIPE
    source: RIPE # Filtered

    role: Netvision NOC team
    address: Omega Building
    address: MATAM industrial park
    address: Haifa 31905

    טוב, יש לי את הטלפון של החברה. מחר אני יתקשר אליהם.

  5. מאת Tomer Cohen‏:

    הנתונים שמצאת מראים שהמשתמש מחובר לנטויז'ן, אבל לא נותנים לך שום נתון נוסף. אני מניח שמדובר בתוכנה אוטומטית כלשהי שפשוט מנסה לסרוק לך את האתר. למה זה קורה כל כמה שניות? טוב, לזה כבר אין לי תשובה, אבל ייתכן ופשוט מדובר בבאג אצלו.

    אגב, יכול להיות ומדובר בתכונת ה־RSS של פיירפוקס או בכל תוכנת זיהוי עדכונים אחרת. ישנם אנשים שמקטינים את הזמן בין העדכונים למינימום ובכך בעצם מציפים את האתרים באלפי פניות.

    לפי זה שהכתובת של האדון (89.139.229.79) לא פופלרית במיוחד בגוגל, כנראה לא מדובר במשהו עם פריסה רחבה.

  6. מאת sijp‏:

    למה אמסטרדם? לפי whois (ולפי הדגל ההוא שם) זה מישראל, הספקית שלו היא נטויז'ן.

  7. מאת shimi meraro‏:

    לא חשבתם לבדוק באתר נטוויז'ן ??
    זו בדיוק הכתובת שלהם! תסתכלו (כתובת החברה, בסוף) – http://www.013netvision.net.il/Category/?CategoryID=300098&TypeID=4

    היה לי חשד כזה עוד לפני שנכנסתי לאתר, נכנסתי רק כדי לאמת את עצמי, ומתברר שצדקתי.
    זה מאוד מוזר…

    אבל למרות כל זה אני בטוח, כי זה מרכז גדול. סביר להניח שזה הם כי הם חברת אינטרנט, יותר מזה – מוזר..

    לגבי abuse – כמובן ל- abuse של חברת האינטרנט עצמה, נטוויז'ן.
    לא יודע מה כבר גודיי יכולים לעשות בעניין.

  8. מאת ik_5‏:

    תנסה להתלונן לנטוויז'ן שיבדקו את הנושא.
    אם מדובר באדם פרטי שכמו שתומר אמר עובד עם קורא rss, אז אין הרבה מה לעשות פרט לזה שאולי נטוויז'ן יצרו עם הבן אדם קשר.

    אם אותו בן אדם קורא כרגע את התוכן של האתר, אז אולי הוא יפסיק עם זה או משהו כזה, בכל מקרה, תנסה להתסכל על ה access log אם יש לך גישה אליו ולראות מה בדיוק הIP הזה מנסה לעשות.

  9. מאת ilanshavit‏:

    עדכון: עדיין לא פניתי ל- netvision (לא היה לי היום זמן לנשום…), אבל נראה שהבעיה פחתה: אינני רואה עדות לכתובת הזאת ב- Firestat (אם כי ב- 24 שעות עדיין היו כ- 2400 כניסות). אני מעריך שהכניסות האלה שייכות לאתמול ומחר כבר הכמות תפחת למימדים נורמליים.

  10. מאת מנחם‏:

    הי אילן,

    הכתובת הזו שייכת לפול כתובות שרת ה DHCP של לקוחות נטויזן שמחוברים אליה ב ADSL. מן הסתם מספיק ריסוט קטן של המודם והכתובת משתנה….

    מנסיון שלי אם תפנה ל ABUSE שלהם הם יפעלו. שמור את הלוגים ושלח.

    אני נתקל בתופעה הזאת המון. כל יום אני רואה בלוגים של ה Firewall שלי כל מיני קלוצים שמנסים להכנס לשרת מפורטים סטנדרטיים ככה שלא צריך להתרגש מזה יותר מידי.

    גם Godaddy יכולים לעזור הן בפנייה לנטויזן והם בחסימת כתובת ה IP הזו, אבל מחר בבוקר הכתובת הזו יכולה להיות שלי (אני כן לקוח ADSL בנטויזן) ככה שאתה עלול לפגוע במשהו שלא עשה לך דבר רע.

    אני שוב ממליץ דוא"ל מנומס ומנומק ל ABUSE בנטויזן והם יעזרו מנסיון.

    בהצלחה.

    מנחם.

  11. מאת חזי‏:

    …כנראה שפינו את הפגר.

  12. מאת ilanshavit‏:

    לא. הפגר עדיין כאן וממשיך לפנות כל 3-2 שניות לאתר שלי.

    פניתי למחלקת abuse בנטויזן. בינתיים הכתובת התחלפה – אך גם היא שייכת לנטויזן (ראו צילום מסך):
    http://img201.imageshack.us/img201/1341/hack2ib0.png

    לא יודע… יש לי הרגשה שהאתר עומד בפני פריצה. ליתר ביטחון לקחתי גיבוי מעודכן 🙂

  13. מאת ilanshavit‏:

    עדכון

    פניתי ל- abuse של נטוויזן והם תוך יום אחד חזרו אלי ומסרו שאיתרו את הלקוח המטריד ומטפלים בנושא מולו.

    בינתיים אני שם לב שאותו לקוח (שכל הזמן מחליף כתובות IP) ממשיך לפקוד את האתר, אבל במקום כל 2-3 שניות הוא עושה את זה כל 2-3 דקות.
    זה חוקי?
    מה הוא מנסה לעשות באתר שלי (לפרוץ אותו)?
    אני ממשיך להציק ל- abuse

  14. מאת יואל ליאון‏:

    כנראה מישהו פורץ למחשב שלי ולכן הסמן שלי משתגע. זה כנראה המחשב שלי שמתקשר עם ההאקר והוא פורץ לפה דרך המחשב. אז מה אפשר לעשות שההאקר לא יתקשר עם המחשב שלי? אוקיי, אכתוב הודעה בוואטסאפ ונברר דרכים לחסום את ההאקר. נקווה שזה יטופל במהרה.

  15. מאת יואל ליאון‏:

    פרסמתי הודעה. ננסה לשתף פעולה

  16. מאת גל‏:

    האם בקבצי הלוג של הapache הפניות הם פניות GET או פניות HEAD.
    אם הם פניות HEAD ייתכן ותוכנה כשלהי (iceweasle) בודקת את הLast-modified-time וכנראה מדובר בהגדרה בעייתית בקונפיגורציה של הדפדפן.

    ליואל, האם הדפדפן שלך תמיד פתוח (גם שאתה לא מול המחשב)?

  17. מאת יואל ליאון‏:

    עדכון – כנראה יש באג בהרחבת speed dial. אז הסרתי. אבל התעלומה עדיין עומדת בעינה. שתי הכתובות שפרסמת אינן שלי. אז חסמו אותי בטעות?

  18. מאת el.il‏:

    יואל, לא היה לי כוח להגיב בווטסאפ אז הגבתי כאן: תבדוק את רשימת התהליכים הפועלים וכו'. אני חושב שזה פשוט צירוף מקרים – האקר טוב לא היה מעורר אפילו חשד, בטח שלו מזיז עכבר. בניגוד למה שכל הידיוט (הידיוט, לא אידיוט) חושב, כשמישהו פורץ למחשב של מישהו אחר הוא מקבל גישה לCommand Line ולא לממשק הגרפי בד"כ. ככה הרבה יותר פשוט לא להתגלות.

  19. מאת ilanshavit‏:

    יואל שלום

    מדובר בצירוף מקרים: הפניות לאתר שלי (בצורה לא תקנית: כל 2-3 שניות) בוצעו ע"י קורא הרסס שלך. משהסרת את האתר מקורא הרסס התופעה פסקה.
    הבעיה עם העכבר נובעת מההרחבה שהתקנת.

    מצטער על אי הנוחות בניתוק חשבון האינטרנט שלך ע"י Netvision. לפחות abuse הוכיחו שהם עובדים כמו שצריך 🙂

  20. מאת Tomer Cohen‏:

    אה! אמרתי לכם! 😉

  21. מאת יואל ליאון‏:

    אני שמח לעזור. מוזר לגלות שאני הכוכב ברשומה שלך… אצלי ההפתעות לא נגמרו – כנראה מישהו נכנס למייל שלי. אשנה סיסמא. עדיין לא הבנתי איך הכתובות שפרסמת הן שלי?

  22. מאת el.il‏:

    יואל, זה בגלל קורא הRSS שלך אם לא הבנת את מה שאילן אמר.
    בקשר לסיסמה למייל: לך תדע, אולי התקנת תוסף מזוייף. כדי לבדוק אם לא חדרה לך תוכנה זדונית למחשב תבדוק את רשימת התהליכים הפעילים ואת רשימת ההרחבות של FF או תוכנות אחרות.

  23. מאת ilanshavit‏:

    יואל שלום
    ההתנהגות המוזרה היתה ממספר כתובות IP. מאחר שכולם ביצעו את אותה הפעולה, הגיעו מאותה מערכת הפעלה, אותו דפדפן ובאותם מירווחי זמן הנחתי שמדובר באותו גורם (שכנראה מתחבר עם חייגן לאינטרנט ולכן מקבל בכל פעם כתובת IP שונה). מי "שעלה" עליך זה נטוויזן (רק הם יכלו לדעת באותו הרגע מי גולש עם הכתובות הללו).

  24. מאת el.il‏:

    לנטוויז'ן לא אמורה ליהיות רשימה של כל כתובות הIP שלקוח התחבר איתם בשבוע האחרון וזמני החיבור?
    אם אין הם צריכים לעשות דבר כזה, וככה אפשר לתת להם את כל רשימת הכתובות החשודות כולל שעות, והם יצליבו מידע.
    אם אין זה פשוט טימטום שלא חשבו על זה עדיין במערכת עם כתובות דינמיות.

  25. מאת יואל ליאון‏:

    טמטום, אלעד היקר? אתה כותב ככה שאפשר לחשוב שאתה תומך בחוק "האח הגדול"… מבין כמה הפתרון שלך בעייתי?

  26. מאת el.il‏:

    סליחה, בעייתי?!
    אני לא תומך בחוק "האתח הגדול", אני לא רוצה שיתעדו את התקשורת שלי לרשת. אני כן תומך בתיעוד כתובות הIP של הלקוחות למשך פרק זמן לא ארוך (שבוע בערך).
    כמה שזה אולי פוגע קצת בפרטיות שלך, זה יכול לעזור לתפוס האקרים, ספאמרים, אנסים ושאר עבריינים ברשת.
    כל מה שיהיה צריך ליהיות מתועד שם זה כתובת הIP, שעת התחברות, שעת התנתקות ושם הלקוח.

  27. מאת יואל ליאון‏:

    במקרה גם בבית אצלי וגם באוניברסיטה העברית בי-ם משתמשים בשירות של נטוויזיון. זה מסביר איך הצלחתי לגלוש ביום שחסמו אותי וזה הטריד את אילן. יעני, גלשתי באוניברסיטה! מה שאני מנסה להגיד זה שהעבריינים המקצועיים לא ישתמשו בכתובת שלהם אלא ינצלו את הרשתות בלתי המאובטחות של אנשים תמימים. אגב, יש גם האקרים "טובים" שמדווחים על פירצות באבטחה בתחומים שונים. אתה האקר שפרץ למחשבים בבית הספר כדי להתקין פיירפוקס. בקיצור, כל העניין לא כזה לבן-שחור. זה הרבה יותר מורכב

  28. מאת el.il‏:

    לא דיברתי רק על האקרים, אבל עובדה שיש פושעים שנכנסים למלכודת של המשטרה והמשטרה מצליחה לתפוס אותם אומרת שלא כל הפושעים משתמשים בכתובות של אחרים, אבל לא כל הפושעים נכנסים למלכודת.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *