[Stevka]

Доброго времени суток!
Возникла проблема с сервером, человек неизвестным мне способом кладёт сервер, судя по tcpdump поступает 1 incoming connection с 1 IP'a, потом отсылает кучу пакетов, причём до полного коннекта не доходит, сам сервер находится в CR:MP(0.3e), вот данные из tcpdump:

PHP Code:

IP 185.57.75.99.21150 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71c0 0000 7411 599e b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529e 22c8 0013 1d09 4806 c800 3cf4 ..R.".....H...<.
0x0030: c800 5df4 7f ..]..
23:10:01.728593 IP 185.57.75.99.21150 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71c1 0000 7411 599d b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529e 22c8 0013 1d09 4806 c800 3cf4 ..R.".....H...<.
0x0030: c800 5df4 7f ..]..
23:10:01.747383 IP 185.57.75.99.21149 > localhost.8904: UDP, length 15
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 002b 71c2 0000 7411 5998 b939 4b63 b93e .+q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0017 81c7 5341 4d50 b93e ..R.".....SAMP.>
0x0030: bd8c c822 70e6 28c5 14 ..."p.(..
23:10:01.768348 IP 185.57.75.99.21150 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71c3 0000 7411 599b b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529e 22c8 0013 1d09 4806 c800 3cf4 ..R.".....H...<.
0x0030: c800 5df4 7f ..]..
23:10:01.807543 IP 185.57.75.99.21149 > localhost.8904: UDP, length 15
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 002b 71c5 0000 7411 5995 b939 4b63 b93e .+q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0017 818d 5341 4d50 b93e ..R.".....SAMP.>
0x0030: bd8c c822 7020 29c5 14 ..."p.)..
23:10:01.807553 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71c4 0000 7411 599a b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 c67a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 69 ..."i
23:10:01.817447 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71c6 0000 7411 5998 b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 cc7a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 63 ..."c
23:10:01.817466 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71c7 0000 7411 5997 b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 bd7a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 72 ..."r
23:10:02.007559 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71c8 0000 7411 5996 b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 c67a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 69 ..."i
23:10:02.007584 IP 185.57.75.99.21149 > localhost.8904: UDP, length 15
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 002b 71c9 0000 7411 5991 b939 4b63 b93e .+q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0017 80b4 5341 4d50 b93e ..R.".....SAMP.>
0x0030: bd8c c822 70f9 29c5 14 ..."p.)..
23:10:02.027338 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71ca 0000 7411 5994 b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 cc7a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 63 ..."c
23:10:02.027354 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71cb 0000 7411 5993 b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 bd7a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 72 ..."r
23:10:02.268742 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71cc 0000 7411 5992 b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 c67a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 69 ..."i
23:10:02.268762 IP 185.57.75.99.21149 > localhost.8904: UDP, length 15
.....y..-..`..E.
0x0010: 002b 71da 0000 7411 5980 b939 4b63 b93e .+q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0017 7b29 5341 4d50 b93e ..R."...{)SAMP.>
0x0030: bd8c c822 7084 2fc5 14 ..."p./..
23:10:03.447607 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71db 0000 7411 5983 b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 cc7a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 63 ..."c
23:10:03.447661 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71dc 0000 7411 5982 b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 bd7a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 72 ..."r
23:10:03.647738 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71dd 0000 7411 5981 b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 c67a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 69 ..."i
23:10:03.647792 IP 185.57.75.99.21149 > localhost.8904: UDP, length 15
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 002b 71de 0000 7411 597c b939 4b63 b93e .+q...t.Y|.9Kc.>
0x0020: bd8c 529d 22c8 0017 7a5c 5341 4d50 b93e ..R."...z\SAMP.>
0x0030: bd8c c822 7051 30c5 14 ..."pQ0..
23:10:03.647804 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71df 0000 7411 597f b939 4b63 b93e .'q...t.Y..9Kc.>
0x0020: bd8c 529d 22c8 0013 cc7a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 63 ..."c
23:10:03.647842 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71e0 0000 7411 597e b939 4b63 b93e .'q...t.Y~.9Kc.>
0x0020: bd8c 529d 22c8 0013 bd7a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 72 ..."r
23:10:04.707491 IP 185.57.75.99.21149 > localhost.8904: UDP, length 15
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 002b 71e1 0000 7411 5979 b939 4b63 b93e .+q...t.Yy.9Kc.>
0x0020: bd8c 529d 22c8 0017 7630 5341 4d50 b93e ..R."...v0SAMP.>
0x0030: bd8c c822 707d 34c5 14 ..."p}4..
23:10:11.448251 IP 185.57.75.99.21149 > localhost.8904: UDP, length 15
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 002b 71e3 0000 7411 5977 b939 4b63 b93e .+q...t.Yw.9Kc.>
0x0020: bd8c 529d 22c8 0017 5bdd 5341 4d50 b93e ..R."...[.SAMP.>
0x0030: bd8c c822 70d0 4ec5 14 ..."p.N..
23:10:11.448265 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71e4 0000 7411 597a b939 4b63 b93e .'q...t.Yz.9Kc.>
0x0020: bd8c 529d 22c8 0013 cc7a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 63 ..."c
23:10:11.448271 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71e2 0000 7411 597c b939 4b63 b93e .'q...t.Y|.9Kc.>
0x0020: bd8c 529d 22c8 0013 c67a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 69 ..."i
23:10:11.448277 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71e5 0000 7411 5979 b939 4b63 b93e .'q...t.Yy.9Kc.>
0x0020: bd8c 529d 22c8 0013 bd7a 5341 4d50 b93e ..R."....zSAMP.>
0x0030: bd8c c822 72 ..."r
23:10:11.687345 IP 185.57.75.99.21149 > localhost.8904: UDP, length 15
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 002b 71e7 0000 7411 5973 b939 4b63 b93e .+q...t.Ys.9Kc.>
0x0020: bd8c 529d 22c8 0017 5aea 5341 4d50 b93e ..R."...Z.SAMP.>
0x0030: bd8c c822 70c3 4fc5 14 ..."p.O..
23:10:11.687395 IP 185.57.75.99.21149 > localhost.8904: UDP, length 11
0x0000: 06ea 9e00 0579 f01c 2da6 ce60 0800 4500 .....y..-..`..E.
0x0010: 0027 71e8 0000 7411 


А также сервер во время этой атаки начинает сильно пожирать ресурсы(ОП).

[eakwarp]

Что говорит крашдетект?

[Stevka]

Ничего, перед "падением" было в логе это:
[23:10:01] Incoming connection: 185.57.75.99:21150

[[Saint]]

на шелл код похоже

[Stevka]

Опять тоже-самое, кстати говоря, это его реальный IP:
[10:45:24] Incoming connection: 2.134.9.12:43298

[eakwarp]

Крашдетект стоит? Сервер не может просто падать.

[alexs404]

Стоит, он нечего не пишет

[eakwarp]

Quote:

Originally Posted by alexs404 Стоит, он нечего не пишет

Тогда это корректное выключение. Либо с сервера через rcon exit, либо отключение процесса сервера из системы.

[Stevka]

В том то и дело, что процесс работает, но сервер не виден. И помогает только перезапуск процесса. В ТП нам ответили так:
"Судя по всему это может быть эксплойт к SAMP ( san andreas multi player) . Чтобы починить наверняка нам нужен сам эксплойт . По этому мы и не можем отфильтровать данный трафик , поскольку он практически идентичен с настоящими пользователями".

[[Saint]]

говорю же експлоит-атака с применением шелл кода, в 2012 году таким методом все сервера VC-MP 0.3z_r2 выводились из строя