Нечто подобное делал на своём icecast сервере, чтоб никто не смог ретранслировать мой поток. Для этого просто банил всех с юзерагентом icecast. Самое простое решение, но сложность в том, что юзерагент можно увидеть только в логах (хотя потом я подправил код, но сейчас не об этом).
Долго думал как сделать, в итоге сделал нечто типа:
tail -F $icelog --pid=$workpid 2>/dev/null| $killscript
где в скрипте $killscript было:
while read line; do
ip=`echo -n "$line"|grep -v ".m3u" | grep -E «GET (/sourc......`
…
done < /dev/stdin
Не надо парсить каждый раз лог — всё делается на лету. В итоге с найденным ip-ом можно делать всё что угодно =)
зы. Кстати, интересная особенность была замечена моим знакомым в ботнетах — они как правило поддерживают редирект =) Можно редиректить ботов…
— зызы. кстати насчёт дисков — имхо надо стараться делать сайты, работающие по максимому в оперативке, тогда — оптимизация защиты от Ddos + неплохой канал в сочетании с сайтом в оперативке и любой ddos не страшен. Ну почти =)
Интересный обзор! А есть информация о операционной системе? Как я понимаю — скорее всего линукс? Можно ли его поднять на стороннем железе, давно хотел найти хорошую платформу для медиа-центра…
Ну на нокии n82 — две сплошные стрелочки =) Означает как раз наличие соединения (когда его нет — на месте буквы E — просто антенка, а в процессе подключения появляется E и мигающие стрелочки, потом они становятся пунктирными, а потом сплошными). Как и при закачке, так и после её отмены — состояние соединения, судя по значку, не менялось.
Что-то я не понял. Это был ответ? =)
Вот только что проверил с nokia n82. Установил gprs (точне edge)-соединение. Начал качать jpg 4 метра. В процессе закачки — позвонил с другого телефона в ответ «аппарат абонента выключен...». Прервал закачку (но gprs-соединение осталось висеть) и тут же позвонил — звонок успешно прошёл. Вопрос как раз в том, почему это происходит.
Я наверное не совсем правильно выразился.
Допустим есть телефон с подключенным GPRS (активна PDP-сессия) но при этом ничего не качается. (ни одного байта не летает) в таком случае до абонента можно дозвониться.
Если же есть тот же самый телефон, но который что-то активно качает с инета — то до такого абонента дозвониться нельзя никак.
Что это означает? При неактивной сессии — звонок идёт напрямую на коммутатор?
Неплохо было бы автору в топике собрать всё полезное, что написали в комментах. Особенно названия программ.
От себя так же поделюсь некоторым опытом и названиями программ, которые использую.
Недавно как раз удалял вирь, который просил что-то отправить. В первую очередь, что я заметил, доступ в интернет и сеть почему-то с этого компьютера пропал, но при этом как ни странно на этот компьютер можно было зайти удалённо (через расшару). Естественно этим сразу воспользовался и залил нужный софт.
В первую очередь с пристрастием изучил список процессов через far (в нём удобно библиотечки загруженные смотреть и путь, откуда процесс запущен).
Так же неплоха программа starter — она умеет дескрипшны к библиотекам считывать. Часто вирусописатели не заморачиваются с составлением дескрипшна, а все честные библиотеки как правило подписаны.
В итоге найти через список процессов ничего не удалось — отдельный процесс не использовался, а была подгрузка в качестве библиотеки в один из системных процессов. Это был winlogon, поскольку в списке процесса была посторонняя библиотека, но я решил убедиться. Убедился я это путём «нагрузки» приложения -вируса, которая неплохо реагировала на неадекватные действия и грузила процессор, а это легко было заметить в списке процессов. Далее я поставил Process Explorer, там есть прикольная фича — можно убивать треды. Проверил ещё раз, погрузив проц, действительно тред с этой штукой грузил проц. Убил тред с вируснёй, но так и не выяснил откуда она подгружалась. Почему-то везде (в списках процессов) был указан сетевой адрес загрузки. То есть адрес вида \\82.123.22.11\woehfowe.exe что это? подмена адреса загрузки? Расшара через инет сработать никак не могла…
Жаль эти приложения нельзя натравливать на удалённый комп. Поскольку в моём случае — у меня было небольшое количество рабочей области, на которой я мог что-то запускать, остальную занимал вирь.
В иных случаях нужно заходить по сети (это кстати не всегда можно сделать) или загружать лайв сд, но в этом случае невозможно понять, что же происходит на заражённом компьютере.
Так же можно понять где зарыт вирь по тому, как грузится комп, на каком этапе появляется окошко — так можно узнать как именно загружается вирь.
Варианты зарытия вирей:
1) тупо стандартная автозагрузка (нужная ветка в реестре легко находится) либо через папку автозагрузка, но это в последнее время мало используется.
2) загрузка в виде библиотеки, обычно в explorer.exe но бывает и winlogon.exe. Обнаружить можно через far, starter — убить через process explorer
3) загрузка в виде сервиса или драйвера — обнаружить можно через sc query, стандартный список сервисов и ещё через servconf — удобная утилита для работы с сервисами и драйверами.
4) подмена какого-нить системного процесса. ну тут всё просто =)
Если процесс скрытый и обнаружить его не удаётся — можно попробовать поискать с помощью rootkit revealer. Так же можно попробовать проследить за тем что за вызовы бегают в системе с помощью Process Monitor от Sysinternals.
Ещё, бывает, хочется удалить файл, а он не удаляется — типо занят. Грузиться в безопасный режим или юзать лайвсд влом — тогда помогает небольшая утилитка unlocker. Разблокирует файлы и папки и можно легко удалить что угодно.
Кстати по поводу дозвона при подключенном GPRS/EDGE. Эта проблема довольно старая. Что заметил — если идёт какая-то активная закачка, то дозвониться до этого человека нереально, говорят абонент не абонент. Если же активной закачки — нет, то вполне спокойно можно до такого абонента дозвониться. Почему так происходит?
В 3G такого нет, во время 3G сессии можно одновременно разговаривать и качать данные, правда я такое видел только за бугром.
И кстати опять же — можно через американский прокси ходить на SF =) Дыры в любом случае найти можно, так что пофигу =) Главное чтоб на разработку это не повлияло…
А информация о проекте (явно использующим шифрование) считается предметом экспорта? Например на SF будет храниться только информация и документация по проекту (или даже тупо ссылка на другой сайт), а файло — раздаваться через какие-нибудь торренты?
В МТСе, например, с помощью этого DEFAPN реализована услуга "доступ без настроек". В отличии от мегафона и билайна — у МТСа тарификация идёт в зависимости от направления (интернет, ммс, вап) + корректируются параметры прокси-сервера для вап и ммс.
То есть при использовании одного апн, можно отправлять ммс, лазить по инету, выходить в вап.
Ммс-трафик при этом будет бесплатен (определяется по наличию в настройках телефона любого ип-адреса прокси из серой сети + заголовка ммс-сообщений)
вап (определяется по наличию в настройках телефона любого ип-адреса прокси из серой сети) по цене вапа
интернет (запрос на любой не «серый» адрес) по цене интернета с учётом скидок и пакетов.
Так что операторы не только могут таким образом «тупо рубить капусту» но и помогать пользователям, которые не могут справиться с настройкой гпрс (по крайней мере это касается МТСа, в билайне, на сколько я знаю, весь «корректированый» трафик тарифицируется по цене вапа, что огорчает =( ).
Я всегда так делаю =) Винду так особенно удобно переносить. Потом с помощью партишнмэджика расширить разделы как надо и усё.
Ещё как-то давно фряху с живого сервера переносил на новый сервер с помощью nfs.
Время отключения старого сервера при замене составило 5 минут =)
Хотя можно перенести и с помощью такого изврата:
новый сервер:
— nc -l -p 1234 | dd of=/dev/sdb bs=$((1024*1024))
старый
dd if=/dev/sdb bs=$((1024*1024))| nc 1.2.3.4 1234
— Я так винду с старого компа на ноут переносил…
Долго думал как сделать, в итоге сделал нечто типа:
tail -F $icelog --pid=$workpid 2>/dev/null| $killscript
где в скрипте $killscript было:
while read line; do
ip=`echo -n "$line"|grep -v ".m3u" | grep -E «GET (/sourc......`
…
done < /dev/stdin
Не надо парсить каждый раз лог — всё делается на лету. В итоге с найденным ip-ом можно делать всё что угодно =)
зы. Кстати, интересная особенность была замечена моим знакомым в ботнетах — они как правило поддерживают редирект =) Можно редиректить ботов…
— зызы. кстати насчёт дисков — имхо надо стараться делать сайты, работающие по максимому в оперативке, тогда — оптимизация защиты от Ddos + неплохой канал в сочетании с сайтом в оперативке и любой ddos не страшен. Ну почти =)
Вот только что проверил с nokia n82. Установил gprs (точне edge)-соединение. Начал качать jpg 4 метра. В процессе закачки — позвонил с другого телефона в ответ «аппарат абонента выключен...». Прервал закачку (но gprs-соединение осталось висеть) и тут же позвонил — звонок успешно прошёл. Вопрос как раз в том, почему это происходит.
Допустим есть телефон с подключенным GPRS (активна PDP-сессия) но при этом ничего не качается. (ни одного байта не летает) в таком случае до абонента можно дозвониться.
Если же есть тот же самый телефон, но который что-то активно качает с инета — то до такого абонента дозвониться нельзя никак.
Что это означает? При неактивной сессии — звонок идёт напрямую на коммутатор?
От себя так же поделюсь некоторым опытом и названиями программ, которые использую.
Недавно как раз удалял вирь, который просил что-то отправить. В первую очередь, что я заметил, доступ в интернет и сеть почему-то с этого компьютера пропал, но при этом как ни странно на этот компьютер можно было зайти удалённо (через расшару). Естественно этим сразу воспользовался и залил нужный софт.
В первую очередь с пристрастием изучил список процессов через far (в нём удобно библиотечки загруженные смотреть и путь, откуда процесс запущен).
Так же неплоха программа starter — она умеет дескрипшны к библиотекам считывать. Часто вирусописатели не заморачиваются с составлением дескрипшна, а все честные библиотеки как правило подписаны.
В итоге найти через список процессов ничего не удалось — отдельный процесс не использовался, а была подгрузка в качестве библиотеки в один из системных процессов. Это был winlogon, поскольку в списке процесса была посторонняя библиотека, но я решил убедиться. Убедился я это путём «нагрузки» приложения -вируса, которая неплохо реагировала на неадекватные действия и грузила процессор, а это легко было заметить в списке процессов. Далее я поставил Process Explorer, там есть прикольная фича — можно убивать треды. Проверил ещё раз, погрузив проц, действительно тред с этой штукой грузил проц. Убил тред с вируснёй, но так и не выяснил откуда она подгружалась. Почему-то везде (в списках процессов) был указан сетевой адрес загрузки. То есть адрес вида \\82.123.22.11\woehfowe.exe что это? подмена адреса загрузки? Расшара через инет сработать никак не могла…
Жаль эти приложения нельзя натравливать на удалённый комп. Поскольку в моём случае — у меня было небольшое количество рабочей области, на которой я мог что-то запускать, остальную занимал вирь.
В иных случаях нужно заходить по сети (это кстати не всегда можно сделать) или загружать лайв сд, но в этом случае невозможно понять, что же происходит на заражённом компьютере.
Так же можно понять где зарыт вирь по тому, как грузится комп, на каком этапе появляется окошко — так можно узнать как именно загружается вирь.
Варианты зарытия вирей:
1) тупо стандартная автозагрузка (нужная ветка в реестре легко находится) либо через папку автозагрузка, но это в последнее время мало используется.
2) загрузка в виде библиотеки, обычно в explorer.exe но бывает и winlogon.exe. Обнаружить можно через far, starter — убить через process explorer
3) загрузка в виде сервиса или драйвера — обнаружить можно через sc query, стандартный список сервисов и ещё через servconf — удобная утилита для работы с сервисами и драйверами.
4) подмена какого-нить системного процесса. ну тут всё просто =)
Если процесс скрытый и обнаружить его не удаётся — можно попробовать поискать с помощью rootkit revealer. Так же можно попробовать проследить за тем что за вызовы бегают в системе с помощью Process Monitor от Sysinternals.
Ещё, бывает, хочется удалить файл, а он не удаляется — типо занят. Грузиться в безопасный режим или юзать лайвсд влом — тогда помогает небольшая утилитка unlocker. Разблокирует файлы и папки и можно легко удалить что угодно.
Надеюсь сей текст будет кому-нибудь полезен =)
В 3G такого нет, во время 3G сессии можно одновременно разговаривать и качать данные, правда я такое видел только за бугром.
То есть при использовании одного апн, можно отправлять ммс, лазить по инету, выходить в вап.
Ммс-трафик при этом будет бесплатен (определяется по наличию в настройках телефона любого ип-адреса прокси из серой сети + заголовка ммс-сообщений)
вап (определяется по наличию в настройках телефона любого ип-адреса прокси из серой сети) по цене вапа
интернет (запрос на любой не «серый» адрес) по цене интернета с учётом скидок и пакетов.
Так что операторы не только могут таким образом «тупо рубить капусту» но и помогать пользователям, которые не могут справиться с настройкой гпрс (по крайней мере это касается МТСа, в билайне, на сколько я знаю, весь «корректированый» трафик тарифицируется по цене вапа, что огорчает =( ).
tar -c /usr /var /etc /boot… | nc 1.2.3.4 1234
nc -l -p 1234 | tar -x
Ещё как-то давно фряху с живого сервера переносил на новый сервер с помощью nfs.
Время отключения старого сервера при замене составило 5 минут =)
Хотя можно перенести и с помощью такого изврата:
новый сервер:
— nc -l -p 1234 | dd of=/dev/sdb bs=$((1024*1024))
старый
dd if=/dev/sdb bs=$((1024*1024))| nc 1.2.3.4 1234
— Я так винду с старого компа на ноут переносил…