Отпечатай - httpd и mysql атака,помощ

Титла: httpd и mysql атака,помощ
Публикувано от: vladi246 в Aug 30, 2010, 21:17

Здравейте От няколко дни ме атакуват разни IP-та,но не мога да разбера по какъв начин,ясно е ,че правят някакви заявки към web serverа който пък прави заявки към mysql а и машината умира тоталноето скриин Чакам идей благодаряПолзвам Slackware със default настройки на апачето

Титла: Re: httpd и mysql атака,помощ
Публикувано от: n00b в Aug 30, 2010, 21:54

slowloris - общо взето.

Дай си ip-то и експериментално ще ти покажа как и аз мога да ти смъкна сайта за минута.

Титла: Re: httpd и mysql атака,помощ
Публикувано от: vladi246 в Aug 30, 2010, 21:55

Цитат на: n00b в Aug 30, 2010, 21:54

slowloris - общо взето.

Дай си ip-то и експериментално ще ти покажа как и аз мога да ти смъкна сайта за минута.

Има ли лек за това,сега ще прочета за термина който даде,благодаря Хмм дали е DOS атака това,защото от термина който даде така излиза че това са дос атаки,сега ще се разчета как да сложа fix на апачето за проблемаНо всякакви идеи не са излишни :P

Титла: Re: httpd и mysql атака,помощ
Публикувано от: n00b в Aug 30, 2010, 22:17

Виж - първо виж дали е slowloris. Общо взето той не може да се бори освен с разни iptables трикове.

Но с дефаулт настройки на apache и ги смъквам за секунди... само за експериментална цел и предупреждавам собсвениците им че ще тествам нещо и ги питам дали е удобно. Общо взето след вида на паднал сървър не им е никак удобно, но ако спра атакат сървъра за секунди се възтановява.

Един от начините за борене беше с ngnix или lighthttpd да ги направиш като reverse proxy и да ги насочиш към apache-то.

Титла: Re: httpd и mysql атака,помощ
Публикувано от: vladi246 в Aug 30, 2010, 22:24

Код:

Интересно ми е голямите хостинг компании като ICN,SuperHosting, и т.н. как се справят със тези проблеми ?Аз си играх със ip tables но те бълват постоянноно някой от бтк си ме е набелязал,ето част от netstat | grep http след като пусна апачето

tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1634 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1773 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1758 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1800 CLOSE_WAIT tcp6 0 0 77.77.44.25%8191:http 85-130-15-105.171:33009 FIN_WAIT2 tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1809 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1874 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1873 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1768 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1757 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1787 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1756 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1682 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1862 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1711 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1743 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1700 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1719 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1812 CLOSE_WAIT tcp6 0 0 77.77.44.25%8191:http crawl-66-249-71-8:50434 TIME_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1814 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1882 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1759 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1712 CLOSE_WAIT tcp6 0 0 77.77.44.25%8190:http crawl-66-249-71-8:50434 TIME_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1814 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1882 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1759 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1712 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1790 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1887 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1833 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1864 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1825 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1776 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1778 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1774 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1875 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1836 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1867 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1875 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1836 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1867 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1867 CLOSE_WAIT tcp6 1 0 cslan.net.cslan.ne:http 87-126-105-224.btc:1867 CLOSE_WAIT

Титла: Re: httpd и mysql атака,помощ
Публикувано от: gat3way в Aug 30, 2010, 22:42

Я, ipv6...какво викаш филтрираш с iptables?

Титла: Re: httpd и mysql атака,помощ
Публикувано от: vladi246 в Aug 30, 2010, 22:44

Цитат на: gat3way в Aug 30, 2010, 22:42

Я, ipv6...какво викаш филтрираш с iptables?

Във случая правя така
iptables -A INPUT -s 87.126.106.133 -j DROP
iptables -A INPUT -s 84.54.150.174 -j DROP
Но това не е решение да седя и да дебна ип-тата който ме атакуват,защото примерно btc-както си раздава ново ип при рестарт,си е наказание.
И не мога да разбера точно къде ми е дупката

Титла: Re: httpd и mysql атака,помощ
Публикувано от: n00b в Aug 30, 2010, 23:40

да - slowloris. Току що го смъкнах сайта ти за секунди. На 30-тата спрях.

Виж как може да се защитиш... примерно с reverse proxy или с iptables...

Титла: Re: httpd и mysql атака,помощ
Публикувано от: gat3way в Aug 31, 2010, 00:02

Цитат на: vladi246 в Aug 30, 2010, 22:44

Цитат на: gat3way в Aug 30, 2010, 22:42
Я, ipv6...какво викаш филтрираш с iptables?
Във случая правя така
iptables -A INPUT -s 87.126.106.133 -j DROP
iptables -A INPUT -s 84.54.150.174 -j DROP
Но това не е решение да седя и да дебна ип-тата който ме атакуват,защото примерно btc-както си раздава ново ип при рестарт,си е наказание.
И не мога да разбера точно къде ми е дупката

Добре де, гледам изхода от netstat, всичките връзки до уеб сървъра са tcp6, демек ползва се ipv6 протокола. Твоите правила забраняват достъпа от ipv4 адреси. Защо си мислиш, че ще match-нат адреса на атакуващият?

Много подмолен момент е това, предполагам :)

Титла: Re: httpd и mysql атака,помощ
Публикувано от: vladi246 в Aug 31, 2010, 00:12

Цитат на: n00b в Aug 30, 2010, 23:40

да - slowloris. Току що го смъкнах сайта ти за секунди. На 30-тата спрях.

Виж как може да се защитиш... примерно с reverse proxy или с iptables...

Страх ме е да си играя дистанционно със iptables че машината е на 2500 к/м от мен

Титла: Re: httpd и mysql атака,помощ
Публикувано от: n00b в Aug 31, 2010, 00:54

Тогава пердаши с едно reverseproxy.

Мисля че имаше модул на Apache с/у slowloris но не беше панацея.

Титла: Re: httpd и mysql атака,помощ
Публикувано от: angie_bg в Aug 31, 2010, 13:30

http://mpetrov.net/kak-da-zashtitim-apache-ot-schupvane-prichineno-ot-slowloris ($2)

Титла: Re: httpd и mysql атака,помощ
Публикувано от: vladi246 в Aug 31, 2010, 16:30

Мда видях го това,но тези дни съм пратил човек първо да ми прехвърли една от машините ми на CentOS и ще е само web,че слака не е лош,но като тръгнеш да прекомпилираш нещо и винаги нещо се омазва,е който го разбира повече му е добре,но за web сървър centos си има някаква дума и ще се мъчиме със него

Титла: Re: httpd и mysql атака,помощ
Публикувано от: vladi246 в Sep 04, 2010, 17:52

На този етап си реших проблема със iptables мисля,другите флудове ще ги резна от гейта

Linux за българи: Форуми

Linux секция за напреднали => Хардуерни и софтуерни проблеми => Темата е започната от: vladi246 в Aug 30, 2010, 21:17