Voor zover ik weet wordt dit enkel in sessies gecontroleerd of je toegang mag hebben tot een bepaald topic of niet.
En sessies zijn enkel te vervalsen als je de sessieid van een crewlid hebt.
Ik zal de code nakijken, maar normaal zou je er niet in mogen kunnen.
Hoe dan ook moeten bugs correct gemeld worden privé, lees onze regels.
Dit kwestie van misbruik te vermeiden.
Een goede proxy lekt geen informatie en in dat geval ben je niets met je script dat kijkt naar ip ranges die intern worden gebruikt ^o)
Niels: hoe kun jij nu weten of ik over iets nadenk of niet?
Natuurlijk was ik er over aan het nadenken, anders meldde ik het niet in het topic. Als het een doodgewone log was en niet zo verdacht was, had ik er gewoon niets van gezegd op deze site. Wat mij betreft was het vrij snel duidelijk dat het Google Bom scenario niet kon.
En vanzodra ik een ip vond dat een proxy server was, heb ik dit hier ook meteen bevestigd.
Je uitspraak maakt insinuaties over hoe ik denk - en dat kun jij niet weten tenzij ik het je expliciet vertel...
Het is gebeurd met een account die was ingelogd als Lars, zo staat het in onze admin logs.
In de server access logs vind ik ook verwijzingen naar zijn ip.
Google is niet degene die het verkeer stuurde, de header (referrer) was gewoon vervalst.
Verder waren enkele van de ip's proxy servers en ga ik er dus vanuit dat het allemaal proxy servers waren (ook al kon ik er veel van niet terugvinden).
Vermoedelijk iemand die een grote privé proxy lijst heeft gekocht ergens.
Nog even benadrukken dat het voor ons onmogelijk is om te weten of iemand voor 100% betrouwbaar is of niet, we hebben onze sollicitatie vragen en een proefweek, waarbij we de logs van deze personen volgen, maar het is niet alsof we ze live en persoonlijk gaan bezoeken...
Is ook niet haalbaar voor een internet forum.
Statement van Lars: een vriend heeft mijn computer gebruikt terwijl ik even weg was om CP aan te vallen...
Niet professioneel.
Ik zeg niet dat ik expert ben, ik werkte als auditor om beveiliging te testen, dat is iets heel anders.
En de link naar jou script is gewoon iets om een ip met zekerheid te achterhalen. Iets wat in dit geval niet van toepassing was, want het waren allemaal anonieme proxies, een grote lijst zelfs.
Verder is het onmogelijk om alle proxies zomaar opeens te bannen.
Nee hoor, ik heb een script geschreven dat bepaalde aanvalsvectoren bant.
Verder copy paste ik gewoon de access logs in excel, filter de aanval er binnen de 10 seconden uit en ban zo 100'en ip's ineens.
Momenteel al honderden ip's verbannen 
#!/bin/bash
if [ -f badips.txt ]
then
for BAD_IP in `cat badips.txt`
do
iptables -A INPUT -s $BAD_IP -j DROP
done
else
echo "Can't read badips.txt"
fiJgdonleach: ik en iedereen die meegewerkt heeft met CP scripting kan je verzekeren, en ik wil het in bloed schrijven, dat de online leden teller klopt.
Verder wil ik hierbij ook bevestigen dat de verzoeken inderdaad werden geplaatst met vervalste headers.
De ip's zijn niet afkomstig van Google maar van proxy servers.
Er werd een extra controle ingevoerd en proxy servers worden nu vrij snel herkend en automatisch geband.
De snelheid van de site zou nu weer moeten verbeteren.
Nogmaals sorry voor de last.
In dit geval snapte ik er niet meteen iets van, de verzoeken zouden moeten worden geblokkeerd, maar om een onbekende reden doet die klote server het niet.
Het enige dat ik kan zien is dat er gewoon te veel verzoeken komen vanuit verschillende ip's en vermoedelijk doet de server er daarom niets tegen.
Bovendien lijkt de grote verschijdenheid aan ip's (638 tot nu toe, telkens max 3 verzoeken per ip), met allemaal google als referrer, eerder op een fout ergens in Google, of een heel groot ip bestand/botnet...
Ik heb al wel aanvallen gezien, maar nooit groter dan een 100-tal ip's...
Weinig scriptkiddies hebben zoveel verschillende ip's...
Zelfs op dit moment krijg ik elke seconde enorm veel requests komende vanuit google als referrer...
De server zou nu meer verzoeken aan moeten kunnen, had de server ingesteld op een 200-tal verzoeken toestaan, kwestie dat we dat toch nooit haalden (tot nu).
Klopt, het is 1 van de linkpartners, maar toch, dit haalt de site niet down, doet het nu ook niet.
De laadtijd is in elk geval zeer hoog.
De site die linkt naar ons heeft amper 12 leden, dus betwijfel dat daar iets fout zit...
Ergens wordt iets geladen op een site, maar de referrer lijkt me nonsense, daarom mijn vraag naar jullie input.
De ip's zijn te variabel om ddos te zijn, tenzij we te maken hebben met een zeer groot botnet of een include op een grote site, maar dan nog...
Ik denk dat ik een framebreaker op de site ga zetten, als het dan toch een include is, zijn ze zelf gekloot 
Citaat[Mon Oct 18 19:58:22 2010] [error] [client 77.251.233.xxx] File does not exist: /home/criminalsp/domains/criminalspoint.nl/public_html/alert('Jo
[Mon Oct 18 19:58:28 2010] [error] [client 77.251.233.xxx] File does not exist: /home/criminalsp/domains/criminalspoint.nl/public_html/alert("Jo
[Mon Oct 18 19:58:43 2010] [error] [client 77.251.233.xxx] File does not exist: /home/criminalsp/domains/criminalspoint.nl/public_html/koen is een beetje ***.html
IP gescensureerd.
Nog bezig met analyseren van alle logs, maar dit staat er wel in:
CitaatToon Meer208.115.60.146 - - [18/Oct/2010:21:43:17 +0200] "GET /in/317.html HTTP/1.0" 302 13505 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
174.142.104.57 - - [18/Oct/2010:21:43:17 +0200] "GET /in/317.html HTTP/1.1" 302 13582 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
66.197.252.181 - - [18/Oct/2010:21:43:17 +0200] "GET /in/317.html HTTP/1.1" 301 527 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
173.203.78.165 - - [18/Oct/2010:21:43:17 +0200] "GET /in/317.html HTTP/1.1" 302 13583 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
118.97.36.34 - - [18/Oct/2010:21:43:15 +0200] "GET / HTTP/1.1" 200 15928 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
202.108.50.77 - - [18/Oct/2010:21:43:17 +0200] "GET /in/317.html HTTP/1.1" 302 13527 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
219.136.253.22 - - [18/Oct/2010:21:43:18 +0200] "GET /in/317.html HTTP/1.1" 302 13527 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
174.142.104.57 - - [18/Oct/2010:21:43:17 +0200] "GET / HTTP/1.1" 200 18809 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
189.84.116.88 - - [18/Oct/2010:21:43:17 +0200] "GET / HTTP/1.1" 200 18753 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
118.97.36.34 - - [18/Oct/2010:21:43:18 +0200] "GET /in/317.html HTTP/1.1" 302 13527 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
61.164.109.7 - - [18/Oct/2010:21:43:17 +0200] "GET / HTTP/1.0" 200 18731 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
202.108.50.71 - - [18/Oct/2010:21:43:17 +0200] "GET / HTTP/1.1" 200 18753 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
222.161.3.146 - - [18/Oct/2010:21:43:17 +0200] "GET / HTTP/1.1" 200 18753 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
189.84.116.88 - - [18/Oct/2010:21:43:17 +0200] "GET / HTTP/1.1" 200 18753 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
208.115.60.146 - - [18/Oct/2010:21:43:18 +0200] "GET / HTTP/1.0" 200 18731 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
41.190.16.17 - - [18/Oct/2010:21:43:18 +0200] "GET / HTTP/1.1" 200 18808 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
89.132.185.205 - - [18/Oct/2010:21:43:18 +0200] "GET /in/317.html HTTP/1.0" 302 13505 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
89.132.185.205 - - [18/Oct/2010:21:43:18 +0200] "GET / HTTP/1.0" 200 18731 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
119.167.219.78 - - [18/Oct/2010:21:43:18 +0200] "GET / HTTP/1.0" 200 18731 "http://www.google.com/search?Language=NL" "Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
Het valt mij op dat alle verzoeken (buiten de aanvallen) kwamen vanuit Google:
http://www.google.com/search?Language=NL
Zou er een Google bom gebeurd zijn? Iemand die opeens kliks inkoopt op zeer populaire woorden?
Wat denken jullie? Mij ziet het er zeer verdacht uit.
Een 2de aanval (echte Ddos) gebeurde vanuit het account van 1 van onze crewleden, die werd tijdelijk verbannen.
Vermoedelijk misbruikt iemand zijn account gewoon.
Voor ik met verklaringen hierover naar buiten kom, overleg ik eerst met hem.
Bedankt voor jullie begrip en sorry voor de last.
Koen
Ps: op een gegeven moment zaten we met bijna 500 mensen tegelijk op CP, allemaal unieke IP's.
Bedankt dat ik in zoveel categorieën ben gewonnen of bij de top behoor.
Enkel jammer van de fail, als jullie weten wat ik beter kan doen, hoor ik het graag via pb
Verder ga ik dan ook maar even mijn reputatie hoog houden en kondig ik nu op een plaats waar het totaal niet past aan dat binnen zeer korte termijn versie 4.3 van CP uit komt, met enorm veel verbeteringen :p
Wie op deze laatste opmerking van mij verder gaat, gaat off-topic en krijgt banpunten ^o)
I love my job on CP :piraat:
Als je auto wil kopen in België, raad ik je http://www.kapaza.be aan, dit is ongeveer de grootste auto site van Vlaanderen.
Voor Nederland ken ik de markt iets minder goed.
Ik ben me ergens aan het afvragen of we met CP een bod moeten uitbrengen hierop, om dit te integreren.
Ik ben al maanden aan het spelen met het idee om een soort van link audit te maken voor op CP.
Algemene informatie, SEO analyse, score van een site etc etc.
Met waarschuwing systeem indien je zou zakken op een bepaald punt...
Zou dit handig voor CP zijn, of moeten we ons beperken tot onze core activiteiten?
Klopt, iedereen moet zich aan de regels houden
:slotje:
Eerder iets voor mijnmaffia dan hier...
Anders staat het er straks mee vol
Kom kom, iedereen krijgt nieuwe kansen.
Jullie hebben mij toch ook al (bijna) vergeven voor het overnemen van CP? :-p
5 Nieuwe moderators was hoognodig, want we hadden 0 moderators meer, iedereen was of supermod of beheerder
Bovendien kunnen wij dankzij onze interne logs perfect elke moderator opvolgen en zien we perfect hoe ze reageren op reports en hoe snel/veel ze er afhandelen.
Geen enkele reden dus om zo'n grote toevloed niet aan te kunnen - in tegendeel zelfs.
Nu moeten we de controles maar 1x uitvoeren en hebben we ze alle 5 ineens geëvalueerd
Welkom in het team en let's kick ass!
Ik heb geen blackberry, nooit gehad, ik gebruik zo'n oude telefoon.
Pingen is gewoon kijken of de andere server antwoordt?
Dat doe ik dagelijks namelijk...
Ik dacht dat berichtjes sturen naar elkaar SMS'en was of Twitteren, maar pingen ken ik niet.
Verder is internet op de telefoon in België ziek duur en neemt men het privé zeer weinig.
Binnen 2 maand max krijg ik het van mijn werk, mobiel internet, maar voorlopig werk ik nog even met mijn oude gsm - die het trouwens nog uitstekend doet... :-p
Leuk om te weten, had er nog nooit van gehoord 