The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Досят хакеры - как решают такие проблемы на сервере?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы WEB технологии (Public)
Изначальное сообщение [ Отслеживать ]

"Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от Dimitry (??) on 09-Дек-05, 15:11 
Здравствуйте!

Очень надеюсь на вашу помощь, потому что нет больше сил бороться с этими негодяями.

Ситуация: Какой то неизвесный прикопался к моему серверу, небыло не угроз не каких либо разговоров, подозрение на заказ конкурентов.

Вообщем атакуют все мои программы установленные на сервере, к примеру апаче(2.0.49) или другие скрипты работающие на других портах для веб.

Атака: Производится с ип адреса принадлежащего провайдеру который продаёт инет карточки, я писал провайдеру их блокировали но потом появлялись новые ип уже других провайдеров.

Принцип атаки: Посылаются запросы,  более 100 в секунду, причём читать с клиента через recv нечего, функция просто ждёт ответа до бесконечности. Апаче при такой атаке просто заполняется всеми процесами которые ничего не потребляют.. при этом конечно новые клиенты не обрабатываются так как достигается максимальное число. К подобному выводы из строя попадают и другие скрипты написанные мной.

Если ли какие то методы решения таких проблем, думаю решение на уровне сетевой карты, но пока нужного софта ненашёл :/

Может много лишнего написал, извеняюсь хотел поподробнее.

Буду очень  благодарен за все мысли, советы, соображения специалистов по этому поводу.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от _Ale_ (??) on 09-Дек-05, 15:28 
>Принцип атаки: Посылаются запросы,  более 100 в секунду, причём читать с
>клиента через recv нечего, функция просто ждёт ответа до бесконечности.
кусок лога приведи
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от Dimitry (??) on 09-Дек-05, 16:24 
>>Принцип атаки: Посылаются запросы,  более 100 в секунду, причём читать с
>>клиента через recv нечего, функция просто ждёт ответа до бесконечности.
>кусок лога приведи


2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]
2005-12-06 20:32:36 got a connection from: manson.if.net.ua [195.68.196.50]

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от rWizard email(??) on 09-Дек-05, 20:33 
Судя по всему - это DoS/DDoS атака.

Рекомендаци по защите:
1. Автоматическая блокировака ip, c которых колличество запросов превышает норму. (Например - http://www.opennet.ru/opennews/art.shtml?num=2767  )
2. использование accept-фильтров (http://sysoev.ru/freebsd/accept-filters.html)
3. Ограничение колличества входящих соединений с одного ip с помощью фаервола

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от Dimitry (??) on 09-Дек-05, 22:26 
>Судя по всему - это DoS/DDoS атака.
>
>Рекомендаци по защите:
>1. Автоматическая блокировака ip, c которых колличество запросов превышает норму. (Например -
>http://www.opennet.ru/opennews/art.shtml?num=2767  )
>2. использование accept-фильтров (http://sysoev.ru/freebsd/accept-filters.html)
>3. Ограничение колличества входящих соединений с одного ip с помощью фаервола


1.  Блокировка IP
   Order Deny,Allow
   Deny from all
   Allow from 176.16.0.0/16

Если это то оно не помогает, другово не нашёл..

2. Фильтры чтото неразобрался с ними, это токо для фреебсп?? у меня линюкс сюзя..

3. SuseFirewall2 поставил сегодня особых настроек там нет, незнаю поможет ли, знаю токо что бинд стал плохо работать ://

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от rWizard email(??) on 10-Дек-05, 02:16 
>1.  Блокировка IP
>   Order Deny,Allow
>   Deny from all
>   Allow from 176.16.0.0/16
>
>Если это то оно не помогает, другово не нашёл..
Не оно.
Прочитайте ещё раз - "Автоматическая блокировака ip, _c которых колличество запросов_ превышает норму. "

сходите по ссылкам -
http://www.opennet.ru/opennews/art.shtml?num=2767
http://www.opennet.ru/prog/info/2619.shtml
используйте поиск.

>2. Фильтры чтото неразобрался с ними, это токо для фреебсп?? у меня
>линюкс сюзя..
Если не ошибаюсь, в linux существут accept-фильтры.

>3. SuseFirewall2 поставил сегодня особых настроек там нет, незнаю поможет ли, знаю
>токо что бинд стал плохо работать ://
КАК Ограничить колличество входящих соединений с одного ip - читатайте в документации к вашему фаерволу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от rWizard email(??) on 10-Дек-05, 02:18 
еще обратите внимание на: http://www.opennet.ru/opennews/art.shtml?num=6399
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от HappyAlex email(ok) on 10-Дек-05, 10:48 
у меня стоит модуль апаческий который блокирует когда идет много обращений на апачу
если нужна инфа пиши 205 015 502
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от uldus (ok) on 10-Дек-05, 23:19 
Проблема решается элементарно - ставится лимит на разрешенное число отдновременных коннектов с одного IP в настройке фаервола и уменьшается величина таймаута в apache.

Примеры для Linux здесь http://www.opennet.ru/tips/sml/41.shtml

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от Dimitry (??) on 13-Дек-05, 21:25 
Всем спасибо за ответы!

Вообщем пробовал много чего искал, устанавливал и пока только mod_evasive выдаёт небольшой еффект.
По его стандартным настройкам сайт с фреймовпй системой незагружается и половина картинок не догружаются.. т.е. за секунду типо более 2х кликов и уже дос атака(так же вызванных картинок и других src=file) поставил 10, вроде всё грузится но в логе всёже некоторых юзеров блокирует.. во время атаки пока неиспытанно. Ктонибуть знает как его лучсех настроить и поможет ли он вообще в данном случае..
Другие моды для апача не подходят, mod_limitipconn например расчитан токо на отдельные директории дя ограничения адновременных закачек, я прав?

По фаерволу SuseFireWall2, ставил его.. особых настроек не нашёл.. против атаки не помогает. Возможно нужно работать на прямую с iptables??, но я точно незнаю как и что.. боюсь всё заблокировать :)
=======================================
Разрешаем производить только 4 коннекта к 22 порту в течении 60 секунд:

   iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set

   iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent \
      --update --seconds 60 --hitcount 4 -j DROP

=================================================

Например тут не сказанно для одного ли это ип.

==================================================
iplimit - ограничение соединений для одного IP.
    Ограничение коннектов к 80 порту от одного IP:
         iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 4 -j REJECT

==================================================

Или может это?? Для 4х разрешённых подключений??
Ведь если процесс апача не потух это не значит что связь с клиентом/сервером поддерживается.. хотя если сервер ждёт recv то связь как бы не прервалась..


(От этого фаервола у меня токо бинд отрубило, даже с разрешённым портом.)

Буду рад выслушать ваше мнение :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от Dimitry (??) on 13-Дек-05, 21:35 

Вот ещё забыл .. в syslogе похожая инфа на взлом РУТА, что самое интересное ИП разный в двух типах атак, но сами атаки не пересекаются.. так и чередуются уже чёрт знает скоко времени..


Dec 13 18:19:16 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35619/80 shrinks window 26944980:26944981. Repaired.
Dec 13 18:25:39 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35690/80 shrinks window 433507970:433507971. Repaired.
Dec 13 18:25:39 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35693/80 shrinks window 433018729:433018730. Repaired.
Dec 13 18:27:50 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35736/80 shrinks window 563993253:563993254. Repaired.
Dec 13 18:28:37 h5986 kernel: TCP: Treason uncloaked! Peer 80.92.206.246:35748/80 shrinks window 604219726:604219727. Repaired.
Dec 13 18:28:55 h5986 sshd[22160]: Failed password for root from ::ffff:84.244.1.105 port 34185 ssh2
Dec 13 18:28:55 h5986 sshd[22160]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:28:56 h5986 sshd[22185]: Failed password for root from ::ffff:84.244.1.105 port 34259 ssh2
Dec 13 18:28:56 h5986 sshd[22185]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:28:57 h5986 sshd[22196]: Failed password for root from ::ffff:84.244.1.105 port 34338 ssh2
Dec 13 18:28:58 h5986 sshd[22196]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:28:59 h5986 sshd[22216]: Failed password for root from ::ffff:84.244.1.105 port 34376 ssh2
Dec 13 18:28:59 h5986 sshd[22216]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:29:05 h5986 sshd[22265]: Failed password for root from ::ffff:84.244.1.105 port 34459 ssh2
Dec 13 18:29:05 h5986 sshd[22265]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:29:11 h5986 sshd[22341]: Failed password for root from ::ffff:84.244.1.105 port 34550 ssh2
Dec 13 18:29:11 h5986 sshd[22341]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:29:17 h5986 sshd[22457]: Failed password for root from ::ffff:84.244.1.105 port 35019 ssh2
Dec 13 18:29:18 h5986 sshd[22457]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye
Dec 13 18:29:19 h5986 sshd[22482]: Failed password for root from ::ffff:84.244.1.105 port 35073 ssh2
Dec 13 18:29:19 h5986 sshd[22482]: Received disconnect from ::ffff:84.244.1.105: 11: Bye Bye

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от _Ale_ (??) on 14-Дек-05, 12:10 
зачем открыт доступ руту по ссх? Запретить!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от Алекс (??) on 14-Дек-05, 14:19 
>зачем открыт доступ руту по ссх? Запретить!


вот
AddModule       mod_dosevasive.c

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Досят хакеры - как решают такие проблемы на сервере?"  
Сообщение от Dmitry email(??) on 06-Фев-08, 23:44 
Блокируй IP и выставь лимиты, как написали. Если не получается, то от ддос аттак защищают здесь - http://www.ras.su/ru/
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру