Cегодня днем был недоступен сервер,
Включен обратно в нормальную работу он был в начале третьего.

Убедительная просьба для выяснения причин неполадки дайте знать в какое время electronix.ru он был недоступен (с какого времени).
(в интервале с 23:00 24 февраля до 14:00 25 февраля)

Спасибо,
Администрация.

Мне Explorer писал что-то вроде "Ошибка. Невозможно найти адрес" с 9.00 до 14.20 25 февраля.

Где-то с 4 утра по Киеву доступа не было (сужу по логу ftp).

Ок, всем спасибо.
Если у кого есть что еще добавить - пишите.

Сервер электроникс сейчас работает в отдельной виртаульной машине.
Проблема видимо произошла в TCP стеке или где-то еще глубже в системе.
Сервер был в работе, порты сканировались, пинг отвечал, но реально работы не было.
Разбираемся сейчас с jeka.

Сегодня утром с 8.00 и до 13.30 я не мог попасть на форум. Эксплоер писал что не может найти сервер или что UIN не может быть доставлен.

В 14:40 сайт не загрузился. С 12:15 до 14:40 один разок открылся, но в какое время точно я уже не помню.

ок

Если вдруг что-то случится подобное этому,
а я буду с утра не в офисе как сегодня (соседи сверху затопили)
то было бы просто замечательно если бы мне или jeka сообщиле об этом как можно быстрее. Это важно.

Оставлю на всякий случай свой мобильный: +7-926-123-45-67
Если вдруг сервер не дай бог долго не доступен - скинте смску - это более чем достаточно.
Electronix должен работать!

Подобного рода проблемы на самом деле являются непонятными глюками.
Почему так произшло и что произошло - не известно.

Последний файл, который у меня завершился в 4.59 утра 25.02, затем
все зависло.

Во первых оба nameserver'а (ns1.2x4.ru,ns2.2x4.ru) были в дауне или к ним не было линки. Во вторых я пытался трассернуть по кешированному ip и где-то после роспринта наблюдались тормоза :
.
........
xx equant-106622-s-b3.c.telia.net (213.248.66.98) 290.200 ms 188.384 ms 129.121 ms
xx moscow08-pos-0-0.ru.equant.net (57.86.128.82) 211.158 ms 202.834 ms 160.063 ms
xx Moscow85-GE0-1.rosprint.net (193.232.88.13) 209.985 ms 277.322 ms 141.286 ms
xxx * * *
xxx * * *

.........

ок

что самое удивительное - пинги к серверу и всем виратальным машинам были, сервисы были доступны - их можно было отследить сканером портов.
но вот ничего TCPшного не работало.

DNS работает по UDP

про UDP не посмотрел.

Если поможет, то у меня на экране было следующее:

ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://forum.electronix.ru/index.php?

The following error was encountered:

Connection Failed
The system returned:

(10060) WSAETIMEDOUT, Connection timed out.The remote host or network may be down. Please try the request again.

Your cache administrator is webmaster.



--------------------------------------------------------------------------------

Generated Fri, 25 Feb 2005 09:35:00 GMT by SERVER-2 (squid/2.5.STABLE7-NT)

Обьявление убрал.
Всем спасибо за помощь!

чудеса творяться.
разбираемся дальше.


kpv и владелец телефона +7300xxx-xx-44
Спасибо!

Кто-то возможно нам делает DOS

У вас разве нет защиты от атак ?

на счет когда упал, искал я один пакет, зашел на ваш сервер, примерно в 21:45 я нашел, только на закачку поставил, как тут-же начались ошибки, потом и ваш сайт не открывался. причем пинги были пока имя DNS отдавал, потом IP определить не удавалось.
Кстати хотел давно спрость, зачем ваш ФТП при скачивании файлов шлет запросы TCP:113 - авторизация ??? он у вас виндовый чтоль ? тогда боюсь что вас поломали. Вообще рекомендуется ставить файрвол и закрывать во внешнюю сеть ВСЕ что туда идти не должно.
Удачи.

Примерно с 11.30 выдавал следующее:



Впервые вывалилось при попытке отправить ответ на тему http://forum.electronix.ru/index.php?showtopic=3129

Надеюсь поможет.

настраиваем, разбираемся.
кто-то нас хачить пытается.
сейчас дежурим с jeka по очереди.

Не понимаю "хакеров"... Ладно еще коммерческие проекты. Так хоть админ будет получаемые деньги отрабатывать. Но "ломать" проекты, основанные на чистом энтузиазме по крайней мере неприлично. Все равно, что на стенах в подъезде писАть.

Удачи в защите!

Кстати за последний месяц в рунете "уронили" wzor, ru-board, kadet и еще несколько сайтов. Чего раньше не наблюдалось.

по подробней,
где об этом можно читать?

чувствую что скоро с безопасностью и защитой придетсья возиться еще более плотно.

udofun

Google по запросу "DOS-атака" выдает кучу ссылок .

Nixon

Примерно год назад досили одновременно несколько сайтов и форумов в зоне PeterHost. Причем продолжалось это явление достаточно долго, один WZor лежал больше месяца .
Технически атаки выполнялись путем вскрытия хакерами ряда удаленных серверов с помощью дыры в программе Radmin, после чего на вскрытых машинах запускались боты, настроенные на адрес атакуемого сайта.
Нынешние атаки на WZor, Ru-Board и т.д. носили кратковременный характер, т.е. не являлись заказной оплаченной акцией со стороны заинтересованных в бездействии указанных сайтов лиц, а были следствием хакерских вылазок, своеобразной демонстрацией силы .

А может эту DOS атаку устроили мы сами (пользователи ФТП)? И связана она со сменой пароля? Неперенастроенные качалки начали бомбить сервер запросами со старым паролем и положили его?

Я имел ввиду массовые атаки. Я по утрам просматриваю около 20 сайтов (новости, warez, блоги и т.д) и как раз около месяца началось повальный обвал (некоторые дефейсили, некоторые просто валили)

Кстати мне сегодня SergM сообщил что он видел в закрытом разделе пользователя уровня "гость". Я проверил пермишены на закрытые разделы - вроде все нормально и мы сошлись на том, что ему показалось - принял поисковик за юзера. Но теперь я даже не знаю что и думать.

Ок.

не думаю что атака по фтп - хотя все возможно.
сейчас отключили все лишнее, поднимаю систему до последней версии, портабгрейд на очереди, пароли сменили также.

где можно подписаться на новости по здомам и дырам?

Больше было похоже на проблему с ДНС. Поскольку ns{1|2}.2x4.ru были
недоступны, можно предположить что tcp-wrappers (hosts.allow) и reverse lookup
также имели проблемы с резолвингом.


http://www.securityfocus.com/bid

Кто из знающих людей может обяснить, что в статистике означает - "2 чел. просматривают этот форум (0 гостей и 1 скрытых пользователей)".

Один это понятно я. А "1 скрытых пользователей" это admin форума или хакер?
В данный момент это видно на странице " Доступ к FTP", который закрытый.

Больше было похоже на проблему с ДНС. Поскольку ns{1|2}.2x4.ru были
недоступны, можно предположить что tcp-wrappers (hosts.allow) и reverse lookup
также имели проблемы с резолвингом.

недоступно было все и не только DNS.

Скрытый пользователь - это когда ты при логине выбираешь "скрытность"

При попытке поиска...

разбираемся.

вернули все в зад, теперь все работает.
сейчас разбираемся что к чему.

еще хрень какая-то,
разбираемся.

тест

тест1

ntcn

Теперь все ок!

Непохоже. Все воскресенье и полночи на понедельник пытался достучаться до ФТП, не тут то было. Либо "all connections logged", либо "истек таймаут" (очень странно - сообщает через 5-7 сек, хотя таймаут - 30 сек). Вопрос - действительно все линии были загружены, или мне свой комп пора ковырять? И кстати - уведомление на e-mail по-прежнему ни о чем не уведомляет.

Тоже наблюдаю 530 ATTENTION!!! ALL CONNECTIONS LOGED


Не хочу сыпать соль на раны, но может это идет экспроприация экспроприаторов?

Те же менторовские парни душат ваш фтп, например.

FPGA
Yuri Potapoff
Если бы сервис FTP на самом деле не работал, то от него не было бы вообще никакого ответа - а так просто временно выключен аккаунт soft , см. объявление udofun в шапке.

Такое же сообщение (530 ATTENTION!!! ALL CONNECTIONS LOGED) появляется также в случае неправильно введенного пароля, когда FTP работает в нормальном режиме.

ФТП включил.

Беда в том, что DOS атаку можно организовать, "забивая" практически любой из сервисов. И не только сервера-жертвы, но и сервера провайдера.

И еще. Обычная процедура аудентификации на FTP сервере (насколько мне известно) - очень не защищенная вещь. Логин и пароль передаются через и-нет практически без всякой защиты.

to udofun
Юра! Может закрыть пока ФТП, осмотреться. Без ФТП можно немного пожить, ведь это не главное, что есть на форуме. О подобных проблемах, если помнишь, мы в прошлом году говорили и предполагали наличие подобных "глюков".

буду смотреть,
пока все в норме работает, следим непрерывно.