1. Рады видеть Вас на русскоязычном форуме TeamSpeak!

    У нас Вы можете скачать последнюю версию:

    Перед регистрацией рекомендуем ознакомиться

    с Правилами форума.

    Присоединяйтесь! Учите и обучайтесь!

    Скрыть объявление
  2. Новая группа "Новичок" на нашем форуме!

    Новые пользователи будут попадать в группу "Новичок".

    Это сделано для того чтобы "Новички" ознакомились с форумом, так как в большинстве случаев проблема с которой вы хотите обратиться уже обсуждалась.

    Перейти в тему обсуждения
    Быстрый переход в группу Пользователь
  3. VPS/VDS и дедикейт сервера в аренду с DDoS защитой

    • Низкий пинг
    • Действующий SLA
    • Рублевые цены без привязки к курсу валют

    Бесплатный тестовый период VPS-OpenVZ

    Попробовать

Помогите Уязвимость сервера ?

Тема в разделе "Вопросы по TeamSpeak 3", создана пользователем TRID, 17 окт 2016.

  1. TRID

    TRID Пользователь

    Регистрация:
    6 июл 2010
    Сообщения:
    22
    Симпатии:
    0
    Баллы:
    365
    По вечерам повторяются проблемы с сервером.
    Набор стандартный, начинает прерываться голос, в итоге пользователи теряют соединение.
    Сегодня удалось понаблюдать за подобным, главной проблемой является сильнейшая загрузка ЦП, так же заметил нагрузку по трафику.

    4.jpg 3.jpg
    Длиться около 5 минут.

    Шибко подозрительная дичь в нулевом логе: http://dropmefiles.com/sVG7e
    2016-10-16 16:10:39.390659|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390697|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390720|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390741|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390762|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390814|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390868|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390894|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390916|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390937|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390959|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390980|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391001|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391040|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391148|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391373|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391492|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391527|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391565|ERROR |UDPServers | |Success
     
    Последнее редактирование: 17 окт 2016
  2. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.801
    Симпатии:
    383
    Баллы:
    775
    файловый браузер разрешен для всех?
     
  3. TRID

    TRID Пользователь

    Регистрация:
    6 июл 2010
    Сообщения:
    22
    Симпатии:
    0
    Баллы:
    365
    Первое что запретил, но эффекта не дало.
     
  4. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.801
    Симпатии:
    383
    Баллы:
    775
    в логах есть что?
     
  5. TRID

    TRID Пользователь

    Регистрация:
    6 июл 2010
    Сообщения:
    22
    Симпатии:
    0
    Баллы:
    365
    В YaTQA еле успел посмотреть текущие загрузки, активных не было, видимо выделенная графа обозначает голосовой трафик. (И нет, нашептывание тоже выключено)
    Через пару минут server query был недоступен, таймаут.
    --- Сообщение объединено, 17 окт 2016 ---
    В логах есть странности, прикрепил к первому сообщению.
     
  6. darkangel66

    darkangel66Icon TEAM-HOST.RU ATHP Премиум Пользователь

    Регистрация:
    12 июн 2012
    Сообщения:
    469
    Симпатии:
    201
    Баллы:
    672
    Трид, вы хоститесь у нас ? если да в ЛС напишите номер услуги. (и странно что нет ни 1 тикета), попробуем помочь.
     
  7. TRID

    TRID Пользователь

    Регистрация:
    6 июл 2010
    Сообщения:
    22
    Симпатии:
    0
    Баллы:
    365
    Я сам по себе, видимо и разгребать эту кучу придётся в одиночку.
     
  8. little_devil

    little_devilIcon Service-Voice.com Премиум Пользователь

    Регистрация:
    12 апр 2014
    Сообщения:
    183
    Симпатии:
    29
    Баллы:
    197
    Арендуйте у Team-Voice впс и получите хорошую l7 защиту )
     
  9. TRID

    TRID Пользователь

    Регистрация:
    6 июл 2010
    Сообщения:
    22
    Симпатии:
    0
    Баллы:
    365
    Для меня не вариант Biggrin_man32
     
  10. VRS95KZ

    VRS95KZ Пользователь

    Регистрация:
    26 янв 2014
    Сообщения:
    105
    Симпатии:
    21
    Баллы:
    335
    Аномальная нагрузка может быть из-за атаки на Ваш сервер. Т.е. отсылать битые пакеты на порт TS. И таким образом показывает что сетевая активность растёт.
    Сделайте дапм сети на порт TS когда это происходит. И посмотрите его например Wireshark'ом.
    Код:
    tcpdump -n -i eth0 -s 0 -w dump.pcap dst port 9987 and host IP_ВАШЕГО_СЕРВЕРА
    В "битых" пакетах находил такие данные "HTTP", "SAMP", "um@"

    P.S. Лично с атаками такими сталкивался, что один "проект" (переманивание народа, поубивал бы всех таких) просто целый месяц вешал сеть, что просто уже мимо хоста (у кого арендуется сервер) IP сервера, банил уже сам ДЦ.
     
    • Нравится Нравится x 1
  11. TRID

    TRID Пользователь

    Регистрация:
    6 июл 2010
    Сообщения:
    22
    Симпатии:
    0
    Баллы:
    365
    Хостер атак не зафиксировал, это была определённо не перегрузка канала.
    --- Сообщение объединено, 20 окт 2016 ---
    Ещё немного тех же ошибок: http://dropmefiles.com/xgLrT
    6.jpg
    Как то так.
     
    Последнее редактирование: 19 окт 2016
  12. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.801
    Симпатии:
    383
    Баллы:
    775
    http://forum.teamspeak.com/threads/126319-Discussion-TeamSpeak-3-Server-3-0-13?p=436256#post436256
    --- Сообщение объединено, 20 окт 2016 ---
    кащеи в роду были?
    лог в рар, рар на непонятную файлопомойку. что мешало зазиповать и приаттачить к посту?
     
    • Нравится Нравится x 1
  13. TRID

    TRID Пользователь

    Регистрация:
    6 июл 2010
    Сообщения:
    22
    Симпатии:
    0
    Баллы:
    365
    Спасибо за информацию, штудировать оф. форум только начинаю.
    Суть в том, что время эти записей совпадает с временем проблем.
    Должно это фиксироваться или нет, это уже другой вопрос.

    лог в рар, рар..
    238447vgh.png
     

    Вложения:

    • logs.zip
      Размер файла:
      6,9 МБ
      Просмотров:
      33
  14. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.801
    Симпатии:
    383
    Баллы:
    775
    попробовать сервер 3.0.13.5-beta1, может убрали запись этих строк в лог.
    teamspeak3-server_linux_x86-3.0.13.5.tar.bz2 teamspeak3-server_linux_amd64-3.0.13.5.tar.bz2

    смахивает на ДДоС.
    всё сложно https://blog.cloudflare.com/how-to-receive-a-million-packets/

    UPD. убрали логирование:
     
    Последнее редактирование: 20 окт 2016
    • Нравится Нравится x 1
  15. VRS95KZ

    VRS95KZ Пользователь

    Регистрация:
    26 янв 2014
    Сообщения:
    105
    Симпатии:
    21
    Баллы:
    335
    Хостер может принять как легитимный трафик.
    Лучше всё же проверить пакеты на всякий случай. Но не исключаю проблему с билдом сервера.
    И -
     
  16. TRID

    TRID Пользователь

    Регистрация:
    6 июл 2010
    Сообщения:
    22
    Симпатии:
    0
    Баллы:
    365
    VJean, хоть и превью, но попробую.
    Смахивает на использование дыры в серверной части, так раскочегарить процессор без особого напора трафика.
    Или вовсе случайный косяк.

    VRS95KZ, попробую отловить, но сомневаюсь что это поможет мне.
    Только узнаю кто пакостит, что уже не мало.
     
  17. hroost

    hroostIcon Voice-Server.ru ATHP Премиум Пользователь

    Регистрация:
    21 фев 2013
    Сообщения:
    222
    Симпатии:
    54
    Баллы:
    455
    или сразу тимспик сервер с защитой у нас Biggrin_man32
     
  18. NtUser

    NtUserIcon \(o_O)/ Знаток Премиум Пользователь Пользователь

    Регистрация:
    23 апр 2014
    Сообщения:
    122
    Симпатии:
    23
    Баллы:
    155
    Можеть быть поможет, а может и нет. Правило для iptables, закрывающий query порт для посторонних.
    -A INPUT -s 255.255.255.255 -p tcp -m tcp --dport 10011 -j ACCEPT
    Где 255.255.255.255 - ваш айпи.
     
  19. TRID

    TRID Пользователь

    Регистрация:
    6 июл 2010
    Сообщения:
    22
    Симпатии:
    0
    Баллы:
    365
    На сколько я знаю, данное правило разрешит использование порта, если входящие соединения запрещены (при -P INPUT DROP).
    Как исключение из общего запрета, если он присутствует.
    Без -P INPUT DROP, это как открыть уже открытую дверь и не важно для какого ip.
    И тут уже вытекает работёнка с открытием всех нужных портов в отдельности.
    Не проще ли в таком случае изменить sq порт ?
     
  20. VJean

    VJean ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26 июл 2014
    Сообщения:
    1.801
    Симпатии:
    383
    Баллы:
    775
    @TRID, если по дефолту открыты все порты, то вытекает еще более нудная и кропотливая работенка по настройке софта, чтобы не светило куда не надо.
    так что нужно сразу блокировать все входящие, иначе получается монашка в публичном доме.
     
Загрузка...