Кто-то проводит эксперимент, с какой скоростью на ЛОРе появится вот этот топик: ЛОР-помощь — ЧСВ превыше мозга.

Ну эксперимент можно уже и завершать — топик-то появился:)

афаик чтобы писать в толкс надо иметь скор, а чтобы читать толкс не обязательно даже иметь аккаунт.

А нафига

Чтобы, заодно, заставить тебя анализировать логи - об проломе ты должен узнавать именно оттуда.

Но видишь ли, чтобы узнать что именно логировать надо иметь кой-какой опыт. И этот опыт проще всего получить есть кто-то что-то поломавший похвалится.
А без этого ни у меня знаний, ни у поломавшего — ему ведь тоже должны быть интересны подробности.

А нафига? Пока ведь о баге не расскажешь никто ведь не узнает какой ты молодец и нашёл дыру.

а может нет ни какой дыры?

может он сидит и вручную эти капчи впечатывает, проверяя какая будет твоя реакция?

тут же надо смотреть на школьную психологию, наверняка примитивный мозг кулхацкера устроен так что если бы была бы дыра, то он сразу же бы про неё написал бы! (пытаясь показать своё эго — мол «вот он я! нащёл дыру! уважайте меня, ребята!»)

а раз дыры нет — то можно тихонько похихикать (вводя капчи вручную) и смотря на негодование автора :-)

# UPDATED

а та [тема] — ей же уже неделя прошла! неуж то хацкер так долго (целую неделю) писал скрипт? :-)

Слишком уж часто и регулярно.
Адреса TOR-овские.
Можно, конечно, заблокировать ТОР, но это ведь не исправит ошибку.
Тем более, что расплачиваюсь я лишь памятью. Да и то по чуть-чуть.
Чтобы засрать её всю, ему понадобится лет 100.

Адреса TOR-овские.

а ты всегда смотри на самые первые адреса в моменты когда начинается «бяка»..

обычно люди тренируются на своих компах, а уже только потом когда ставят на конвеер — используя прокси.

на этом обычно и ловятся! смотри характерные черты «бяки» — и по ним определяй самые первые её проявления.

и ещё — когда видишь что-то неладное — первое правило: НЕ сообщать о том что ты ОБНАРУЖИЛ что-то неладное!

если ты заметил какуюту «бяку» — то время ещё пока-что на твоей стороне — ты можешь наблюдать за реакцией остальных людей, делая вид будто ты НЕ знаешь о «бяке». это важное правило (но ты уже нарушил это правило... так что остаётся только найти первое проявление).

Тем более, что расплачиваюсь я лишь памятью. Да и то по чуть-чуть.

А ноешь, будто он тебе сервер кладёт регулярно. Ну играется какой-то скрипткиддиз, чего тут особенного? Ко мне на сервер регулярно стучатся и без всяких тредов на лоре.

А ноешь

Ну он мне засирает админку мусором. Но это мелочи — у меня есть кнопка «нафиг всё».
Меня больше беспокоит КАК он это делает. Ведь это значит, что я где-то облажался. А я не люблю лажать. А если уж случилась такая беда, то надо исправлять.

он мне засирает админку мусором.

а какой URL у админки?

tcpdump / wireshark не помогают?

Как раз разбираюсь как с tcpdump работать.

а какой URL у админки?

Непосредственно к админке никто не обращается — он дёргает страницу с вводом анекдота и капчей: fabella.info/commit

Идиотская ситуация — смотрю на тело входящих пакетов и ничего не понимаю, и спросить страшно — поскольку там могут быть важные данные.

Ничего. Я вам ещё покажу кузькину мать — хрен поломаете.

Одно дело сказать «я вот нашел херню, которая не знаю, что делает, может админку тебе замусоривает» (кстати, кулхацкер точно в курсе, что его действия приводят хоть к какому-то результату?) и совсем другое - «у тебя решето, я тебе сайт положил и базу слил». Вот он и ищет способ, как через найденную дырень сделать что-то более серьезное.

точно в курсе?

Ну если он с ЛОРа (скорее всего, так как кроме ЛОРовцев про этот сайт никто не знает), то уже знает.
Если нет, то визуально он ничего не увидит.

Мб ты кого-то тут обозвал? :)

Идиотская ситуация — смотрю на тело входящих пакетов и ничего не понимаю, и спросить страшно — поскольку там могут быть важные данные.

Попробуй загнать в wireshark, он сам всё разберёт и расскажет, что для чего нужно. Правда, не пробовал юзать его без графики, но всяко должен быть способ просто сграбить поток данных, а потом открыть его в WS.

лучше wireshark

Напихал логов в код, обрабатывающий капчу: капча говорит, что всё хорошо. Т.е. ситуация такая, как будто злоумышленник правильно вводит капчу.
$resp = recaptcha_check_answer(...);
if ($resp->is_valid)

Хм-м-м-м...

Ошибок с его IP где-то 10%.
Ну т.е. ситуаций, когда капча говорит, что нифига. Неправильно.
Остальные 90% таможня даёт добро.
Рекапча — говно?:)

Может быть, это просто автоматизация китайцами?

Ну это, наверное, денег стоит. Кому я, неуловимый, нужен?
Но похоже — раз есть ошибки.
Странно всё это.
Очень.
Может кто-то распознавалку цифр допилил?

Возможно, атака направлена не на тебя лично, просто брутят все сайты с рекапчей. Либо рекапчу интегрировал криво. Точно соблюдаются все рекомендации из документации по recaptcha? Например, private key рекапчи не должен торчать наружу.

Да вроде с гуглового сайта пример брал.
Приватный ключ? Гм. не должен. Но надо проверить.

не должен торчать наружу

Тьфу ты. Чуть не обосрался — начало ключей немного похоже и я чуть было не подумал, что он висит в жава-скрипте:)

Тут человеку один мудак данные на серваке потёр (типа «подшутил»), так здесь этого мудака ещё и защищали.

12:51:16.079 Неизвестное свойство «-moz-border-radius».  Потерянное объявление. fabella.css:23
12:51:16.079 Неизвестное свойство «-moz-border-radius».  Потерянное объявление. fabella.css:50
12:51:16.080 Неизвестное свойство «-moz-border-radius».  Потерянное объявление. fabella.css:117
12:51:16.080 Ошибка при парсинге значения «background».  Потерянное объявление. fabella.css:120
12:51:16.080 Ошибка при парсинге значения «background».  Потерянное объявление. fabella.css:121
12:51:16.080 Неизвестное свойство «-moz-border-radius».  Потерянное объявление. fabella.css:138
12:51:16.080 Неизвестное свойство «-moz-box-shadow».  Потерянное объявление. fabella.css:141
12:51:16.080 Ошибка при парсинге значения «background».  Потерянное объявление. fabella.css:145
12:51:16.080 Ошибка при парсинге значения «background».  Потерянное объявление. fabella.css:146
12:51:16.080 Ошибка при парсинге значения «background».  Потерянное объявление. fabella.css:158
12:51:16.080 Ошибка при парсинге значения «background».  Потерянное объявление. fabella.css:159
12:51:16.080 Неизвестное свойство «-moz-box-shadow».  Потерянное объявление. fabella.css:162

Не используй в продакшене префиксы CSS.

Ты думаешь я знаю что это такое?
CSS честно украдена и чуток перепилена для моих нужд.
Это про всякие -moz? Это вроде мозилловские какие-то хрени, которые на другие браузеры не влияют...

Кстати, как у тебя устроено голосование? К чему оно привязано? К айпишнику?
Я сейчас поголосвал за два случайных анекдота (этот и этот).

Да, к IP. Но каждый анекдот независим. Т.е. ты можешь проголосовать хоть за каждый, но лишь единожды в большой промежуток времени.

А какой промежуток?

~сутки.
Вот сейчас кто-то накручивает счётчик на одном из анекдотов с помощью кучи IPшников.
Интересно зачем:)

Дык, это я. Жду, пока Integer переполнится.

Молодец. Тебе повезло, что сервер 32-битный. Может и доживёшь:)
А как ты добился такого количества IP?
Как-то модифицируешь пакеты?

Вот сейчас кто-то накручивает счётчик на одном из анекдотов с помощью кучи IPшников.

просто кто-то ссылку повесил куда-то из соседней [темы]

Не, там curl`ом кто-то скрипт дёргает.
Да и CYB3R сам признался.

а вот скрипт, который стал виновником этой темы:

• [fabella.py]
• [et_find.py]

(мне скачно стало — и тогда я его выключил, после того как речь зашла о якобы плохой работе recaptcha.. то есть часа 3 назад)

скрипт сделан — на скорою руку... точнее говоря — был взят за основу вот [этот] и исправлен на скорую руку..

как и я говорил [ранее] — ни какой уязвимости нет — просто обычный ручной ввод капчи — и просмотр за реакцией автора :-)

Тут человеку один мудак данные на серваке потёр (типа «подшутил»), так здесь этого мудака ещё и защищали.

однако (как мне помнится) в той теме товаришь с портом 5900  — НЕ просил чтобы его повзламывали :-)

просто обычный ручной ввод капчи

Хорошо. Ты настоящий тролль — я искренне считал, что ты не при делах, а просто помогаешь.
Но от этого есть польза — ты слал мне такой странный мусор, что мой демон пару раз упал при очистке памяти от этой дряни.
Т.е. где-то у меня есть проблемы. Видимо какие-то спецсимволы или что-то в этом роде.

ты слал мне такой странный мусор, что мой демон пару раз упал при очистке памяти от этой дряни.

так как ты говорил что демон на языке Си — то как раз я на это очень расчитывал изначально!

и даже приятно что это получилось :-)

спасиб за инфу!

просто помогаешь.

ну я действительно помогаю! какой тут злой умысел то может быть? :-)

хотя если ты изучишь [CSRF-токены] — то я думаю это будет моя главная моральная помошь во всём этом деле..

Там сейчас post-запросы.

Там сейчас post-запросы.

web-интерфейс посылает post-апросы.. но что находится внутри PHP — мы же не знаем..

вдруг там используется $_REQUEST[...] ?

Ну, это можно проверить.

Сейчас хочу через тор попробовать. Постоянно получаю подобные сообщения:

[notice] Have tried resolving or connecting to address '[scrubbed]' at 3 different places. Giving up.

Почему твой сервер не отвечает на мои пинги?

[notice] Have tried resolving or connecting to address '[scrubbed]' at 3 different places. Giving up.

это тебе TOR такое говорит?

очевидно он ворчит на тебя (беспокоится о тебе), по поводу того что ты используешь DNS-не-через-TOR ..

в данном случае эту надпись нужно игнорировать... но вообще я лично стараюсь в своих [скриптах] не раздрожать TOR-сервис :-) .. но в данном случае это не влияет ни на что :-) так что не обращай внимания

А должен?

Любой живой сервер должен отвечать на пинги.