Автор Тема: Apache2 хаби много ресурси  (Прочетена 2555 пъти)

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Apache2 хаби много ресурси
« -: Jul 01, 2010, 18:06 »
Здравейте :)

Имам проблем със apache2 явно някой ме атакува но немога да разбера с какво не е SYN защото съм конфигурирал защита която работи на 100%. Но гледайте какво става:

Код:
10502 www-data  20   0 43792  13m 4140 R    4  0.2   0:10.58 apache2           
14574 www-data  20   0 43792  13m 4140 R    4  0.2   0:01.99 apache2           
11421 www-data  20   0 42512  12m 4224 S    3  0.2   0:08.33 apache2           
13659 www-data  20   0 42248  12m 4140 R    3  0.2   0:03.65 apache2           
15090 www-data  20   0 42248  12m 4140 R    3  0.2   0:01.12 apache2           
 4023 www-data  20   0 44564  14m 4192 R    3  0.2   0:21.97 apache2           
11424 www-data  20   0 42764  12m 4140 R    3  0.2   0:08.57 apache2           
13087 www-data  20   0 44564  14m 4140 R    3  0.2   0:04.56 apache2           
13877 www-data  20   0 42248  12m 4140 R    3  0.2   0:03.31 apache2           
13997 www-data  20   0 42764  12m 4224 R    3  0.2   0:02.63 apache2

И продължата със още петорно толкова процеси на apache. Някаква защита против това?
Целиа процесор взима?
Активен

Linux is the LIFE!

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #1 -: Jul 01, 2010, 21:45 »
http://www.modsecurity.org/
Активен

0x2B|~0x2B

n00b

  • Напреднали
  • *****
  • Публикации: 1248
  • Distribution: OSX
  • Window Manager: 10.6, 10.8, 10.9
  • Live to hack, hack to live.
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #2 -: Jul 01, 2010, 23:33 »
Мирише ми на slow loris attack...

http://en.wikipedia.org/wiki/Slowloris
Активен

mobilio - професионални мобилни приложения

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #3 -: Jul 02, 2010, 09:25 »
Мирише ми на slow loris attack...

http://en.wikipedia.org/wiki/Slowloris

Сложих преди много време защити от това, не е това, правил съм това: http://mpetrov.net/kak-da-zashtitim-apache-ot-schupvane-prichineno-ot-slowloris . Част от лога:

Код:
site.com:80 87.126.176.58 - - [01/Jul/2010:17:13:28 +0300] "POST / HTTP/1.1" 403 394 "-" "-"
site.com:80 87.126.176.58 - - [01/Jul/2010:17:13:28 +0300] "POST / HTTP/1.1" 403 394 "-" "-"
site.com:80 87.126.176.58 - - [01/Jul/2010:17:13:28 +0300] "POST / HTTP/1.1" 403 394 "-" "-"
site.com:80 87.126.176.58 - - [01/Jul/2010:17:13:28 +0300] "POST / HTTP/1.1" 403 394 "-" "-"
site.com:80 87.126.176.58 - - [01/Jul/2010:17:13:28 +0300] "POST / HTTP/1.1" 403 394 "-" "-"
site.com:80 87.126.176.58 - - [01/Jul/2010:17:13:28 +0300] "POST / HTTP/1.1" 403 394 "-" "-"
site.com:80 87.126.176.58 - - [01/Jul/2010:17:13:28 +0300] "POST / HTTP/1.1" 403 394 "-" "-"
site.com:80 87.126.176.58 - - [01/Jul/2010:17:13:28 +0300] "POST / HTTP/1.1" 403 394 "-" "-"
site.com:80 87.126.176.58 - - [01/Jul/2010:17:13:28 +0300] "POST / HTTP/1.1" 403 394 "-" "-"
site.com:80 87.126.176.58 - - [01/Jul/2010:17:13:28 +0300] "POST / HTTP/1.1" 403 394 "-" "-"

IP-то е btc. Като го блокна си го сменя и пак продължава
Активен

Linux is the LIFE!

EazySnatch

  • Напреднали
  • *****
  • Публикации: 46
  • Distribution: Gentoo
  • Window Manager: XFCE
    • Профил
    • WWW
Re: Apache2 хаби много ресурси
« Отговор #4 -: Jul 02, 2010, 10:16 »
Здравей ,

Преди време имах подобен проблем постоянно разни хора точеха от сървъра им и отваряха по 10 конекции и тогава нямаше този бърз нет и неможех да си върша работата ето как реших проблема.


Ip connection limit може да задеш определен брой на конекции от едно ip това може би няма да помогне ако са 50-100 бота ,но ще ти намели конекциите от IP .

Ето нещо друго което може да погнеднеш

[httpbl-access-log]
 enabled  = true
 filter   = httpbl-access-log
 port     = http
 maxfailures = 1
 bantime = 86400
 logpath  = /usr/local/apache2/logs/httpbl_access_log
 action   = iptables[name=httpbl-access-log, port=http, protocol=tcp]

това е Fail2ban ползвам го от 4г. и съм супер доволен има мн финни настройки за време ignore networks/ip и max retry

Досега не съм ограничавал нищо освен sshd ftpd ,но има и за apache може да го погледнеш
Активен

It "just works" is  not enough , It must work well

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #5 -: Jul 02, 2010, 12:24 »
Добре неможе да няма никакви защити против това? Намалих конекциите на 5 оправи се до някаква степен, но пак има проблеми с товаренето. Помогнете има важни сайтове на машината....
Активен

Linux is the LIFE!

Acho

  • Напреднали
  • *****
  • Публикации: 5256
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Re: Apache2 хаби много ресурси
« Отговор #6 -: Jul 02, 2010, 13:16 »
Freedj, ами можеш ли да разбереш от кой адрес ти идват атаките ? Да скиваме кой те тормози.
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #7 -: Jul 02, 2010, 13:29 »
Нали това казвам че атаките са от динамичните ип-та на бтк и някакви динамични ип-та на    Petrich ISP: Radjo Di Sole. Блокзвам ип-то той го сменя и пак се почва....
Активен

Linux is the LIFE!

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #8 -: Jul 02, 2010, 13:35 »
Добре неможе да няма никакви защити против това? Намалих конекциите на 5 оправи се до някаква степен, но пак има проблеми с товаренето. Помогнете има важни сайтове на машината....
По-горе предложих възможно решение, направи ли си труда да го пробваш? Или дай да се оплакваме...
Активен

0x2B|~0x2B

n00b

  • Напреднали
  • *****
  • Публикации: 1248
  • Distribution: OSX
  • Window Manager: 10.6, 10.8, 10.9
  • Live to hack, hack to live.
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #9 -: Jul 02, 2010, 13:36 »
Пусни един снифър и виж изобщо какво лети към теб.

Другия вариант е - пусни един lighthttpd на порт 80 и го настрой в режим reverse proxy към apache (който ще си го пуснеш на др. порт примерно 8888).
Активен

mobilio - професионални мобилни приложения

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #10 -: Jul 02, 2010, 13:38 »
Казахти, че ограничих конекциите, но немога да си позволя да ограничавам нищо друго. Доста сайтове има който нетрябва много много да ограничавам. Имали варянт да ми помогнете или пак ще се мрънка как не съм бил чел как не съм бил погледнал. От два дни е този проблем немога да го реша прерових целия google. И когато най-накрая се навих да питам се почва старата песен на нов глас...

ЕДИТ: Пуснах един tcpdump докато ме удряше. Заменил съм ip-то на машината със 127.0.0.1
« Последна редакция: Jul 02, 2010, 13:42 от freedj »
Активен

Linux is the LIFE!

p3tzata_

  • Напреднали
  • *****
  • Публикации: 210
  • Distribution: Fedora
  • Window Manager: KDE
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #11 -: Jul 02, 2010, 14:20 »
Дай изхода от
Код
GeSHi (Bash):
  1. netstat -tnap
поне да видим за какво става въпрос.

Цитат
явно някой ме атакува но немога да разбера с какво не е SYN защото съм конфигурирал защита която работи на 100%.
Не се заяждам, но може ли да споделиш как конфигурира 100 % защита, защото според мен ако реши целия китайски народ да те атакува спасение няма.

Пробва ли някакво правило с recent модула на iptables


Активен

Никое ДОБРО не води до ДОБРО и никое ЗЛО не води до ЗЛО.

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #12 -: Jul 02, 2010, 14:53 »
От netstat -tnap изкарва само портовете и към кое ип да отворени. Сетих се за една защита има ли начин да се ограничат рефрешите в смисъл такъв ако даден потребител направи над 15 рефреша примерно за 1 минута да го дропне от сайта за извесно време. След което пак да го пусне?
Активен

Linux is the LIFE!

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #13 -: Jul 02, 2010, 15:20 »
От netstat -tnap изкарва само портовете и към кое ип да отворени. Сетих се за една защита има ли начин да се ограничат рефрешите в смисъл такъв ако даден потребител направи над 15 рефреша примерно за 1 минута да го дропне от сайта за извесно време. След което пак да го пусне?
това с обновяваянията трябва да стане на приложно ниво, иначе със софтуера, който ти предложих можеш да ограничиш броя връзки към апаш за период (както и доста други неща)
Активен

0x2B|~0x2B

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Re: Apache2 хаби много ресурси
« Отговор #14 -: Jul 02, 2010, 15:32 »
Това, благодарение на форума, го бях направил временно, за да ограничавам заявки към 25-ти порт. Не знам дали би могло да се ползва идеята.
Цитат
# The next two lines will stop every second SMTP connection from the same IP within 120 sec interval
iptables -A INPUT -p tcp --syn --dport 25 -m recent --name bad_smtp --update --seconds 120 -j DROP
iptables -A INPUT -p tcp --syn --dport 25 -m recent --name bad_smtp --set -j ACCEPT
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Apache2 & .cgi .pl - молба за помощ
Настройка на програми
Icar 4 3064 Последна публикация Nov 20, 2003, 03:19
от
Apache2
Настройка на програми
mozly 8 4099 Последна публикация Feb 29, 2004, 13:47
от mozly
Apache2
Настройка на програми
dunamis 3 2283 Последна публикация Apr 27, 2004, 20:15
от dunamis
Apache2 - непозната грешка
Настройка на програми
Pinball_Master 3 2248 Последна публикация Aug 01, 2004, 19:44
от
Apache2 Проблем при стартирането
Настройка на програми
mAd_cAt 1 1585 Последна публикация Oct 19, 2004, 09:06
от