Автор Тема: Прилагат ми някакъв exploit на apache-то  (Прочетена 2357 пъти)

carbonated

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
Здравейте! Някой прави нещо на apacheto ми и се появяват стотици процеси => CPU-то се натоварва на 100%. Защитил съм го от syn flood, но изглежда не е това тъй като не логва нищо. Освен това MySQL-а почва да дава too many connections и всичко се оплита.
Активен

arda_kj

  • Напреднали
  • *****
  • Публикации: 631
  • Distribution: Debian Sid/Unstable; Ubuntu 12.04
  • Window Manager: Gnome/KDE
    • Профил
Re: Прилагат ми някакъв exploit на apache-то
« Отговор #1 -: Jun 30, 2011, 00:24 »
Трябва да ни дадеш малко повече информация, за да разберем какво точно става. Имам няколко въпроса:

1) Какви са тези стотици процеси, които се появяват? Апачето стартира отделни нишки, за да приеме нови кънекции или стартира отделна програма стотици пъти.
2) Как си го защитили от syn flood? Как си сигурен, че не е syn flood? При syn flood по-принцип нищо не се логва, т.к. няма завършена TCP кънекция.
3) Това че MySQL ти дава too many connection може ли да значи, че някой се опитва да ти brute force разни акаунти.
4) Каква е Операционната система на сървъра? Какво точно хостваш и какви web услуги се достъпват, може ли потребители да се логват отдалечено на твоя сървър и да ползват ресурсите му?
5) Атаките от един и същ IP ли се извършват или от произволен IP? Атаките постоянни ли са или има прекъсване между отделните атаки?

За мониторинг какво става може да използваш tcpdump, който да ти извежда инфо за идващите пакети. Например за детектиране на syn flood може да ползваш следното изпълнено като root:

Код:
tcpdump -n -vv dst host IP_NA_TVOQ_SERVER and dst port 80 and 'tcp[tcpflags] & tcp-syn == tcp-syn'

IP_NA_TVOQ_SERVER - тука трябва да въведеш IP-то на твоя сървър. За повече инфо относно работата с tcpdump  http://danielmiessler.com/study/tcpdump/

Не е зле да видиш и по логовете какво пише, логовете на Апаечето, syslog, auth.log, логовете на другите услуги, които поддържаш. Също виж изхода на last, lastb, w или who за нещо съмнително.
Инсталирай си и htop, конзолен таск мениджър доста по-удобен от top, за да следиш какви процеси работят на системата.
Активен

Debian Sid/Unstable; Ubuntu 12.04
"За да открием истината, е нужно поне веднъж в живота си да подложим всичко на съмнение" - Р. Декарт

n00b

  • Напреднали
  • *****
  • Публикации: 1248
  • Distribution: OSX
  • Window Manager: 10.6, 10.8, 10.9
  • Live to hack, hack to live.
    • Профил
Re: Прилагат ми някакъв exploit на apache-то
« Отговор #2 -: Jun 30, 2011, 10:05 »
slowloris е името на атаката.

Предпазва се като сложиш един ngnix като reverse proxy пред apache, и направиш самия apache невидим за външния свят.
Активен

mobilio - професионални мобилни приложения

b2l

  • Напреднали
  • *****
  • Публикации: 4786
  • Distribution: MCC Interim
  • Window Manager: - // - // -
  • ...sometimes I feel like screaming... || RTFM!
    • Профил
    • WWW
Re: Прилагат ми някакъв exploit на apache-то
« Отговор #3 -: Jun 30, 2011, 10:54 »
slowloris е името на атаката.

Предпазва се като сложиш един ngnix като reverse proxy пред apache, и направиш самия apache невидим за външния свят.

Баси сложното...
Активен

"Човекът е въже, опънато между звяра и свръхчовека, въже над пропаст. Човекът е нещо, което трябва да бъде превъзмогнато." - Фр. Ницше