1. Рады видеть Вас на русскоязычном форуме TeamSpeak!

    У нас Вы можете скачать последнюю версию:

    Перед регистрацией рекомендуем ознакомиться

    с Правилами форума.

    Присоединяйтесь! Учите и обучайтесь!

    Скрыть объявление
  2. Новая группа "Новичок" на нашем форуме!

    Новые пользователи будут попадать в группу "Новичок".

    Это сделано для того чтобы "Новички" ознакомились с форумом, так как в большинстве случаев проблема с которой вы хотите обратиться уже обсуждалась.

    Перейти в тему обсуждения
    Быстрый переход в группу Пользователь
  3. VPS/VDS и дедикейт сервера в аренду с DDoS защитой

    • Низкий пинг
    • Действующий SLA
    • Рублевые цены без привязки к курсу валют

    Бесплатный тестовый период VPS-OpenVZ

    Попробовать

Помогите Уязвимость сервера ?

Тема в разделе "Вопросы по TeamSpeak 3", создана пользователем TRID, 17 окт 2016.

  1. TRID

    TRID Пользователь

    Регистрация:
    06.07.10
    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    215
    По вечерам повторяются проблемы с сервером.
    Набор стандартный, начинает прерываться голос, в итоге пользователи теряют соединение.
    Сегодня удалось понаблюдать за подобным, главной проблемой является сильнейшая загрузка ЦП, так же заметил нагрузку по трафику.

    4.jpg 3.jpg
    Длиться около 5 минут.

    Шибко подозрительная дичь в нулевом логе: http://dropmefiles.com/sVG7e
    2016-10-16 16:10:39.390659|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390697|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390720|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390741|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390762|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390814|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390868|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390894|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390916|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390937|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390959|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.390980|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391001|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391040|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391148|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391373|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391492|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391527|ERROR |UDPServers | |Success
    2016-10-16 16:10:39.391565|ERROR |UDPServers | |Success
     
    Последнее редактирование: 17 окт 2016
  2. VJean

    VJeanIcon ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26.07.14
    Сообщения:
    1.443
    Симпатии:
    329
    Баллы:
    445
    файловый браузер разрешен для всех?
     
  3. TRID

    TRID Пользователь

    Регистрация:
    06.07.10
    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    215
    Первое что запретил, но эффекта не дало.
     
  4. VJean

    VJeanIcon ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26.07.14
    Сообщения:
    1.443
    Симпатии:
    329
    Баллы:
    445
    в логах есть что?
     
  5. TRID

    TRID Пользователь

    Регистрация:
    06.07.10
    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    215
    В YaTQA еле успел посмотреть текущие загрузки, активных не было, видимо выделенная графа обозначает голосовой трафик. (И нет, нашептывание тоже выключено)
    Через пару минут server query был недоступен, таймаут.
    --- Сообщение объединено, 17 окт 2016 ---
    В логах есть странности, прикрепил к первому сообщению.
     
  6. darkangel66

    darkangel66Icon TEAM-VOICE.COM ATHP Премиум Пользователь

    Регистрация:
    12.06.12
    Сообщения:
    417
    Симпатии:
    169
    Баллы:
    335
    Трид, вы хоститесь у нас ? если да в ЛС напишите номер услуги. (и странно что нет ни 1 тикета), попробуем помочь.
     
  7. TRID

    TRID Пользователь

    Регистрация:
    06.07.10
    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    215
    Я сам по себе, видимо и разгребать эту кучу придётся в одиночку.
     
  8. little_devil

    little_devilIcon Service-Voice.com Премиум Пользователь

    Регистрация:
    12.04.14
    Сообщения:
    134
    Симпатии:
    16
    Баллы:
    104
    Арендуйте у Team-Voice впс и получите хорошую l7 защиту )
     
  9. TRID

    TRID Пользователь

    Регистрация:
    06.07.10
    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    215
    Для меня не вариант Biggrin_man32
     
  10. VRS95KZ

    VRS95KZ Пользователь

    Регистрация:
    26.01.14
    Сообщения:
    93
    Симпатии:
    17
    Баллы:
    64
    Аномальная нагрузка может быть из-за атаки на Ваш сервер. Т.е. отсылать битые пакеты на порт TS. И таким образом показывает что сетевая активность растёт.
    Сделайте дапм сети на порт TS когда это происходит. И посмотрите его например Wireshark'ом.
    Код:
    tcpdump -n -i eth0 -s 0 -w dump.pcap dst port 9987 and host IP_ВАШЕГО_СЕРВЕРА
    В "битых" пакетах находил такие данные "HTTP", "SAMP", "um@"

    P.S. Лично с атаками такими сталкивался, что один "проект" (переманивание народа, поубивал бы всех таких) просто целый месяц вешал сеть, что просто уже мимо хоста (у кого арендуется сервер) IP сервера, банил уже сам ДЦ.
     
    • Нравится Нравится x 1
  11. TRID

    TRID Пользователь

    Регистрация:
    06.07.10
    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    215
    Хостер атак не зафиксировал, это была определённо не перегрузка канала.
    --- Сообщение объединено, 20 окт 2016 ---
    Ещё немного тех же ошибок: http://dropmefiles.com/xgLrT
    6.jpg
    Как то так.
     
    Последнее редактирование: 19 окт 2016
  12. VJean

    VJeanIcon ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26.07.14
    Сообщения:
    1.443
    Симпатии:
    329
    Баллы:
    445
    http://forum.teamspeak.com/threads/126319-Discussion-TeamSpeak-3-Server-3-0-13?p=436256#post436256
    --- Сообщение объединено, 20 окт 2016 ---
    кащеи в роду были?
    лог в рар, рар на непонятную файлопомойку. что мешало зазиповать и приаттачить к посту?
     
    • Нравится Нравится x 1
  13. TRID

    TRID Пользователь

    Регистрация:
    06.07.10
    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    215
    Спасибо за информацию, штудировать оф. форум только начинаю.
    Суть в том, что время эти записей совпадает с временем проблем.
    Должно это фиксироваться или нет, это уже другой вопрос.

    лог в рар, рар..
    238447vgh.png
     

    Вложения:

    • logs.zip
      Размер файла:
      6,9 МБ
      Просмотров:
      3
  14. VJean

    VJeanIcon ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26.07.14
    Сообщения:
    1.443
    Симпатии:
    329
    Баллы:
    445
    попробовать сервер 3.0.13.5-beta1, может убрали запись этих строк в лог.
    teamspeak3-server_linux_x86-3.0.13.5.tar.bz2 teamspeak3-server_linux_amd64-3.0.13.5.tar.bz2

    смахивает на ДДоС.
    всё сложно https://blog.cloudflare.com/how-to-receive-a-million-packets/

    UPD. убрали логирование:
     
    Последнее редактирование: 20 окт 2016
    • Нравится Нравится x 1
  15. VRS95KZ

    VRS95KZ Пользователь

    Регистрация:
    26.01.14
    Сообщения:
    93
    Симпатии:
    17
    Баллы:
    64
    Хостер может принять как легитимный трафик.
    Лучше всё же проверить пакеты на всякий случай. Но не исключаю проблему с билдом сервера.
    И -
     
  16. TRID

    TRID Пользователь

    Регистрация:
    06.07.10
    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    215
    VJean, хоть и превью, но попробую.
    Смахивает на использование дыры в серверной части, так раскочегарить процессор без особого напора трафика.
    Или вовсе случайный косяк.

    VRS95KZ, попробую отловить, но сомневаюсь что это поможет мне.
    Только узнаю кто пакостит, что уже не мало.
     
  17. hroost

    hroostIcon Voice-Server.ru ATHP Премиум Пользователь

    Регистрация:
    21.02.13
    Сообщения:
    188
    Симпатии:
    41
    Баллы:
    126
    или сразу тимспик сервер с защитой у нас Biggrin_man32
     
  18. NtUser

    NtUserIcon \(o_O)/ Премиум Пользователь

    Регистрация:
    23.04.14
    Сообщения:
    91
    Симпатии:
    19
    Баллы:
    74
    Можеть быть поможет, а может и нет. Правило для iptables, закрывающий query порт для посторонних.
    -A INPUT -s 255.255.255.255 -p tcp -m tcp --dport 10011 -j ACCEPT
    Где 255.255.255.255 - ваш айпи.
     
  19. TRID

    TRID Пользователь

    Регистрация:
    06.07.10
    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    215
    На сколько я знаю, данное правило разрешит использование порта, если входящие соединения запрещены (при -P INPUT DROP).
    Как исключение из общего запрета, если он присутствует.
    Без -P INPUT DROP, это как открыть уже открытую дверь и не важно для какого ip.
    И тут уже вытекает работёнка с открытием всех нужных портов в отдельности.
    Не проще ли в таком случае изменить sq порт ?
     
  20. VJean

    VJeanIcon ǝноɯʚıqж Администратор Знаток

    Регистрация:
    26.07.14
    Сообщения:
    1.443
    Симпатии:
    329
    Баллы:
    445
    @TRID, если по дефолту открыты все порты, то вытекает еще более нудная и кропотливая работенка по настройке софта, чтобы не светило куда не надо.
    так что нужно сразу блокировать все входящие, иначе получается монашка в публичном доме.
     
Загрузка...