DDoS, Apache и Убунта

[0xygen]

это все из сетки одного прова?

 

[gameover]

имха проще отписаться провайдеру, хай накажет "злодеев"

оксик, молчал бы коли не знаешь.
пров не обязан делать очистку траффика на твой сайт.
ты можешь заказать ей у разных людей кстати, и при чем стоит это не 2 бут чернигова

Я вбивал то что Ренегат написал. ДДоСят вот по такому типу

можно ограничить iptables'om кол-во конекто с одного ip и дело в шляпе

Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address.

пример использования

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

Fail2Ban scans log files like [file:///var/log/pwdfail pwdfail] and bans IP addresses that make too many password failures.  It updates firewall rules to reject the IP address.  These rules can be defined by the user.  Fail2Ban can read multiple log files such as sshd or Apache Web server ones

читать умеем то что постим?

какой f2b если тут НИГДЕ нет нислова о "password failures"?!

это все из сетки одного прова?

дядя, это всё с одного IP!

 

[0xygen]

оксик, молчал бы коли не знаешь.
пров не обязан делать очистку траффика на твой сайт.
ты можешь заказать ей у разных людей кстати, и при чем стоит это не 2 бут чернигова

внезапно, но почему то двое из моих провайдеров отзывались на мои просьбы. незнаю шо они дальше делали с теми юзверями, но те перестали беспокоить. еще один какой то китайский! пров тоже отозвался на мою просьбу и сделал тоже самое шо и "наши". вот это таки было внезапно

дядя, это всё с одного IP!

перечитай тему сначала

 

[ASDev]

не, не с сетки одного прова, таких айпишников штук 20-25, могу скриншот добавить если надо. Просто я с этим сталкиваюсь первый раз, как я понял оно через метод гет файла индекс.пхп пхает коннекты на другие сайты, и из-за этого ложится апач? Может есть способ именно это пофиксить как-то? мож там пхп дырявый или в апаче есть какое-то правило которое это отсекает

 

[Fido_user]

имха проще отписаться провайдеру, хай накажет "злодеев"

если провайдер вменяем и быстро реагирует - конечно, иначе приходится делать свои костыли

 

[0xygen]

не, не с сетки одного прова, таких айпишников штук 20-25, могу скриншот добавить если надо. Просто я с этим сталкиваюсь первый раз, как я понял оно через метод гет файла индекс.пхп пхает коннекты на другие сайты, и из-за этого ложится апач? Может есть способ именно это пофиксить как-то? мож там пхп дырявый или в апаче есть какое-то правило которое это отсекает

дык выкинь сюда те ип-ы, жалко шоле?

да, в самом апаче есть такая фича. но щаз наизусть не вспомню. а искать впадлу на данный момент

если провайдер вменяем и быстро реагирует - конечно, иначе приходится делать свои костыли

та они обычно все вменяемые, если с ними нормально разговаривать

 

[ASDev]

Вот они, это скриншот правил иптаблеса. Тапками не кидать, там пока реджекты

 

[0xygen]

гы. так там похоже через всякие анонимайзеры тебя долбят

 

[gameover]

_

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

 

[ASDev]

гы. так там похоже через всякие анонимайзеры тебя долбят

ну а какой дурак будет свой айпишник светить )))

 

[0xygen]

ну а какой дурак будет свой айпишник светить )))

та идиотов хватает

 

[Renegade]

Ну вот тебе кусок с моих правил

export WAN=eth0
##########
#anti DDOS#
###########
iptables --new-chain car
iptables --insert OUTPUT 1 -p tcp --destination-port 80 -o ${WAN} --jump car
iptables --append car -m limit --limit 20/sec --jump RETURN
iptables --append car --jump DROP
#Максимум 10 одновременных соединений с одного IP
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT
#Блокировка более 10 SYN
iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m connlimit --connlimit-above 10
#20 соединений на сеть класса С
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECT

Скажешь что опять не работает - ищи проблему у себя.

 

[Fido_user]

Ну вот тебе кусок с моих правил

iptables [B]-A[/B] INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT

Скажешь что опять не работает - ищи проблему у себя.

лучше заменить iptables -A на iptables -I. Может из-за этого не работать если раньше уже все разрешено

 

[Gwynn]

не, не с сетки одного прова, таких айпишников штук 20-25, могу скриншот добавить если надо. Просто я с этим сталкиваюсь первый раз, как я понял оно через метод гет файла индекс.пхп пхает коннекты на другие сайты, и из-за этого ложится апач? Может есть способ именно это пофиксить как-то? мож там пхп дырявый или в апаче есть какое-то правило которое это отсекает

О майн гот. Вы лог апача читать умеете ? Это Referrer в логе, а не пихание на другие сайты.

 

[ASDev]

Не умею, я прямо написал что с этой куйнёй сталкиваюсь первый раз. Если расскажете механизм как работает такой ддос - буду признателен

з.ы. Скриптик на который была ссылка на хабре помог. Всем спасибо, всем по репе

 

[ASDev]

Это source, т.е. айпишник с которого тебе надо запретить доступ

 

[Fido_user]

Руководство по iptables

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

 

[ASDev]

История получает продолжение. Щас вот более хитрый ДДоС отражаю, целый ботнет сука. DDoS Deflate тут не очень помогает, т.к. коннектов с одного айпишника не так и много, юзаю fail2ban. Уже в бане ок. 300 зомбей, ждём что будет дальше...
з.ы. кусок лога аксес апача

212.154.249.126 - - [14/Jun/2012:17:57:05 +0400] "GET /register.php?do=signup HTTP/1.0" 200 12240 "7q450p.com" "Mozilla/4.0 (compatible; Synapse)"
219.92.197.148 - - [14/Jun/2012:17:52:33 +0400] "GET /register.php?do=signup HTTP/1.0" 200 11616 "08s159by7h6m.biz" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; ZoomSpider.net bot; .NET CLR 1.1.4322)"
122.54.77.126 - - [14/Jun/2012:17:57:33 +0400] "GET /register.php?do=signup HTTP/1.0" 200 11520 "0a38b.info" "Mozilla/4.0 (compatible; MSIE 5.0; Windows ME; Link Checker 2.x.xx

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

)"
2.133.188.80 - - [14/Jun/2012:17:52:34 +0400] "GET /register.php?do=signup HTTP/1.0" 200 11520 "xp2dx20973o8.ru" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma;

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

)"

кусок лога еррор апача

[Thu Jun 14 17:58:34 2012] [error] [client 118.97.95.236] PHP Deprecated: Assigning the return value of new by reference is deprecated in /var/www/includes/init.php on line 136, referer: 2404q.com
[Thu Jun 14 17:58:34 2012] [error] [client 118.97.95.236] PHP Deprecated: Assigning the return value of new by reference is deprecated in /var/www/includes/init.php on line 205, referer: 2404q.com
[Thu Jun 14 17:58:34 2012] [error] [client 118.97.95.236] PHP Deprecated: Assigning the return value of new by reference is deprecated in /var/www/includes/init.php on line 383, referer: 2404q.com
[Thu Jun 14 17:58:34 2012] [error] [client 118.97.95.236] PHP Deprecated: Assigning the return value of new by reference is deprecated in /var/www/includes/class_core.php on line 2552, referer: 2404q.com

Может кто что поумнее подскажет? Нжинкс пока ставить лень...



Мля, таки придётся ставить нжинкс и слать ботов вхуй с его помощью, т.к. запросы идут всё время на 1 страницу. DDoS Deflate и fail2ban не справляются, т.к. явно используют подмену адресов. Уже больше 2к в бане паряцца. Пока что перевёл апач на другой порт - работает, но его ж надо явно указывать. Кто порекомендует доку по настройке нжинкса на уже работающем сервере, чтобы запросы на конкретный ПХП как-то проверялись? Например, сделать там переход по ссылке чтобы боты не валили апач или как-то так

 

[nerve]

чтобы запросы на конкретный ПХП как-то проверялись? Например, сделать там переход по ссылке чтобы боты не валили апач или как-то так

а с этого места можно поподробней?
и что действительно сайт недоступен для пользователей или тормозит?

 

[ASDev]

Значит атака идёт именно на register.php. На этом форуме в настройках апача стоит только 10 одновременных подключений, поэтому юзеры пробиться не могут. Ставлю больше - апач начинает жрать проц т.к. кол-во запросов от ботов увеличивается и идёт тормозня всего ВДС. Хочу вот нжинксом заворачивать запросы на register.php на статическую страницу test.html, в которой будет переход на register.php, боты тогда до апача не доберутся а нжинкс будет очень быстро отдавать им статику. fail2ban набрал уже тыщ 5 зомбей )))