Атакуют ******и :( (БФ)

maxkit · 04.06.2012

alex444 сказав(ла):
Макс, не злобствуй. mod_security даже установлен не был в апаче одним квалифицированным специалистом (раз ты о квалификации намекаешь).

Я уже "злобствую"? "Отакую" хоть не я, нет? Мои интересы никак не пересекаются ни с интересами форума, ни с твоими интересами, так что не проецируй. Ну, или проецируй, но объясни зачем мне злобствовать.

Отсутствие mod_security ты напрасно вспомнил. Отбивать с его помощью DDoS - идея глупая, непрофессиональная. Такие вещи должны решаться задолго до apache с его mod_security вообще, ибо тот захлебнётся в fork'ах.

Dimoks сказав(ла):
Ты не раз говоришь о дыре, но где эта дыра не говоришь

Ты же мне говорил, что админы даже закрыли дыру nginx'а, когда он там стоял, после того, как я тебе на неё указал. Или ты забыл?

Dimoks сказав(ла):
Видел как он лежал и не раз.

А, ну значит всё OK.

nemo7217 · 04.06.2012

А рекламодатели, а посещаемость?

Satyr · 04.06.2012

alex444 сказав(ла):
на данный момент 1100 запросов показа главного.

А много уникальных айпишников в ботнете?

nemo7217 · 04.06.2012

А если сделать главный закрытым для гостей?

Booker · 04.06.2012

инакомыслящий сказав(ла):
А если сделать главный закрытым для гостей?

Ну станут балку атаковать, что изменится-то?

Satyr · 04.06.2012

инакомыслящий сказав(ла):
А если сделать главный закрытым для гостей?

Не лезь с глупыми идеями. Если в главный гостей не пускать, это всё равно тратить процессорное время, создавать отдельный процесс для реквеста, формировать респонс и т.д. Разве что с минимальным обращением к базе. К тому же изменят урл запроса и опять что-нибудь закрывать придётся

Dimoks · 04.06.2012

maxkit сказав(ла):
Ты же мне говорил, что админы даже закрыли дыру nginx'а, когда он там стоял, после того, как я тебе на неё указал. Или ты забыл?

Я перечитал лог в аськи... Ты как то странно ответил, типа ничего они не пофиксили... Либо пофиксили но не то или не так.

Если есть что-то подсказать - пиши...

Ferox · 04.06.2012

досят или ддосят? А то досить любое школоло с LOIC может. Если ддосят, то сколько независимых подсетей, сколько гигабит?

Если входящий канал не перегружается, то все нормально отбивается на уровне сервера. Время за которое отбивается зависит от географической распределенности атакующего ботнета, любой ботнет банится за несколько часов, если только тебя не кибернетическое командование армии США атакует. Обычные штатские хакеры могут завалить правильно настроенный сервер только перегрузив входящий канал, а судя по тому что форум кое-как работает этого нет.

Booker · 04.06.2012

Интересно, а что, хостер никак на такие вещи не реагирует?

Ferox · 04.06.2012

Booker сказав(ла):
Интересно, а что, хостер никак на такие вещи не реагирует?

Димокс сам себе хостер. А ДЦ будет реагировать только если перегружать входящий канал, и за бабки.

EvgenG · 04.06.2012

а кулцхакера найдуть и посадють????

maxkit · 04.06.2012

Dimoks сказав(ла):
ничего они не пофиксили

Я у тебя сейчас там и nginx не вижу. Может, он, как суслик, где-то и есть, но снаружи я его не вижу, так что о той старой дыре - забудь. Новые дыры быстрее админам изнутри смотреть, а не мне снаружи.

Dimoks сказав(ла):
Если есть что-то подсказать - пиши...

Пишу: средствами Apache *DoS-атаки не отбиваются, на mod_security - не надейся. Для детального рецепта нужно изнутри видеть.

Satyr · 04.06.2012

Судя по тому что писал алекс, атакуют по одному и тому же урлу, который меняется, но опять же, меняется сразу для всех атак. И каждый айпи продуцирует уйму одинаковых запросов, пусть даже и сменяя урл-жертву. Проблема ясна, способы решения - тоже. И наверняка есть уже готовые решения. Тут админы компетентнее

duplov · 04.06.2012

Посылаю кулуцхакерам луч гнойного простатита. Задолбали школьники.

alex444 · 04.06.2012

maxkit сказав(ла):
Пишу: средствами Apache *DoS-атаки не отбиваются, на mod_security - не надейся. Для детального рецепта нужно изнутри видеть.

повторяю, там Slow-Read DoS Attack, но не с одного ip все соединения, а 1 адрес - одно соединение. И атакующих много.

Ловить, повторяю, только на l7, в стеке я не отличу POST от GET и валидность запрашиваемого урла.

Что мы и делаем, в общем-то... Обрывая невалидные соединения и освобождая занимаемые ими треды апача.

Я повторяюсь, выше я давал уже кусок - как раз из аудита mod_security, цель принципиально достигнута, connection close.

alex444 · 04.06.2012

Satyr сказав(ла):
И каждый айпи продуцирует уйму одинаковых запросов

если бьі.... с одного адреса - один запрос... одно соединение.

кстати - управляет "ботнетом" сервер "линейки" (игровой сервер, ботнет на его основе делается элементарно).. оно засветило управляющую машину ботнета атакой.

starWanderer · 04.06.2012

alex444 сказав(ла):
кстати - управляет "ботнетом" сервер "линейки"

а положить его в ответку никак?..

Satyr · 04.06.2012

starWanderer сказав(ла):
а положить его в ответку никак?..

Игровой сервер? К примеру, какой-то хацкер знает дыру в игре и затулил туда в качестве авы ссылку на Глагнэ. Куча геймеров даже не знают, что ддосят ХФ

maxkit · 05.06.2012

alex444 сказав(ла):
повторяю

Ты так говоришь, будто я с первого раза не понял, что означает SRDOS или не решал это успешно много раз (даже тут, на ХФ). Я - понял. Вердикт прежний. Apache слишком неповоротлив, чтобы это разруливать. Подозреваю, что он у тебя ещё и не на mpm_event_module, а lifetime для соединений ты, скорей всего, и так уже уменьшил и persistent connections, скорей всего, уже запретил.

vovavoin · 05.06.2012

Satyr сказав(ла):
Игровой сервер? К примеру, какой-то хацкер знает дыру в игре и затулил туда в качестве авы ссылку на Глагнэ. Куча геймеров даже не знают, что ддосят ХФ

слушайте, а это вариант

Атакуют ******и :( (БФ)

maxkit

nemo7217

Satyr

nemo7217

Booker

Satyr

Dimoks

Адмін

Ferox

Booker

Ferox

EvgenG

maxkit

Satyr

duplov

alex444

staff (вахтьор)

alex444

staff (вахтьор)

starWanderer

Satyr

maxkit

vovavoin