BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: DoS атака на apache - что делать?
СообщениеДобавлено: Пт 18 май, 2007 12:38 pm 
Не в сети

Зарегистрирован: Вс 25 фев, 2007 8:31 pm
Сообщения: 49
Некий нехороший человек научился "вешать" apache нашего сервера. Утверждает, что использользует прокси сервера, генерирует множество запросов, сейчас уже шантажирует. Проект коммерческий, идут убытки...

Симтомы следующие:
1. Load Averages из команды top падает почти до 0.
2. Работает 250 httpd процессов, т.е. максимум, определенный в httpd.conf директивой MaxClients.
3. При запросе к web страничкам через браузер происходит задержка секунд на 10-20, а затем ошибка "Невозможно отобразить страницу". Если раз 10 нажимать "обновить страницу" - может показаться.
4. Другие серсисы сервера (FTP, SSH, ...) работают нормально.
5. Некоторые строчки из httpd.conf:

Timeout 20
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 5

<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 250
MaxRequestsPerChild 0
</IfModule>

Пробую с ними "играться", но не помогает.

6. На сервере 3 Гб ОЗУ, процессор P4 3000. Операционка - FreeBSD 5.4
7. Поставил модуль апача mod_limitipconn2, позволяющий ограничивать число соединений с одного IP. Не помогло.
8. В access_log число запросов в порядке нормы (около 50 000 за час), в error_log уйма строк "Rejecting client at ..."

Надеюсь, кто-нибудь подскажет. Идти на "поводку" шантажиста-хакера не хотелось бы... Возможно, мог бы выплатить ганарар, если помощь окажется трудоемкой... Готов отправить все логи, любые файлы, статистиску. Возможно, логины-пароли или лично встретиться в Петербурге (оплачу время, помощь). Конечно, предложение СРОЧНОЕ.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 май, 2007 2:28 pm 
Не в сети
Newsmaker
Аватара пользователя

Зарегистрирован: Пт 05 мар, 2004 9:34 am
Сообщения: 754
Откуда: Новосибирск
А что мешает обратиться в управление "К", или как там оно зовётся ?
На каких запросах мрёт апачь ? Явно же не на статике. Анализ и оптимизация CGI и SQL запросов + разделение на фронтэд (nginx), бэкэнд (apache).


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 май, 2007 2:31 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
ereality ?

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 май, 2007 6:46 pm 
Не в сети

Зарегистрирован: Вс 18 июл, 2004 8:57 pm
Сообщения: 300
вы кто-то из онлайн игр? слышал, что последние пару недель лихорадит вас.

по subj могу сказать: от DOS атак, которые дошли до хоста, очень тяжело отбиваться. блокируйте на маршрутизаторе.

если же все же надо на хосте, то анализируйте логи, пишите парсеры, и код, который будет налету создавать нужные правила firewall.

_________________
Специальный UNIX/Linux поисковик - http://keyhell.org/searches.html

Blog: http://keyhell.org/blog.html


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 май, 2007 7:25 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
keyhell писал(а):
вы кто-то из онлайн игр? слышал, что последние пару недель лихорадит вас.

по subj могу сказать: от DOS атак, которые дошли до хоста, очень тяжело отбиваться. блокируйте на маршрутизаторе.

если же все же надо на хосте, то анализируйте логи, пишите парсеры, и код, который будет налету создавать нужные правила firewall.

Я... - нет, просто для меня это было актуально... в моей организации один из компов этой ерундой застрадал - выловил его еще до появления в каспере.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 май, 2007 8:54 pm 
Не в сети

Зарегистрирован: Вс 18 июл, 2004 8:57 pm
Сообщения: 300
GreenX писал(а):
keyhell писал(а):
вы кто-то из онлайн игр? слышал, что последние пару недель лихорадит вас.

по subj могу сказать: от DOS атак, которые дошли до хоста, очень тяжело отбиваться. блокируйте на маршрутизаторе.

если же все же надо на хосте, то анализируйте логи, пишите парсеры, и код, который будет налету создавать нужные правила firewall.

Я... - нет, просто для меня это было актуально... в моей организации один из компов этой ерундой застрадал - выловил его еще до появления в каспере.

я автора темы имел в виду.

_________________
Специальный UNIX/Linux поисковик - http://keyhell.org/searches.html

Blog: http://keyhell.org/blog.html


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 19 май, 2007 1:52 am 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 17 фев, 2007 1:36 pm
Сообщения: 104
Откуда: Краснодар
Апач может обновить? Патчи поставить и т.д.
Зри в логи.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 21 май, 2007 11:02 pm 
Не в сети

Зарегистрирован: Вс 25 фев, 2007 8:31 pm
Сообщения: 49
Решение проблемы найдено. Поставил nginx как проски сервер (на той же машине, где и Apache). Результат потрясающий. Если ранее работало по 200-250 процессов Apach`а, то сейчас всего 10-20. Расход памяти снизился многократно, load averages уменьшился процентов на 20. От хакерской нет и следа. Это волшебство! А сама атака атака заключалась в следующем: берем 250 прокси серверов, открываем 250 соединений, медленно что-то нибудь качаем. Apache оказывается в отключке, его архитектура подразумевает отдельный процесс под каждое соединение.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 22 май, 2007 4:18 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 05 май, 2004 5:21 pm
Сообщения: 807
Откуда: Одесса
borz писал(а):
Решение проблемы найдено. Поставил nginx как проски сервер (на той же машине, где и Apache). Результат потрясающий. Если ранее работало по 200-250 процессов Apach`а, то сейчас всего 10-20. Расход памяти снизился многократно, load averages уменьшился процентов на 20. От хакерской нет и следа. Это волшебство! А сама атака атака заключалась в следующем: берем 250 прокси серверов, открываем 250 соединений, медленно что-то нибудь качаем. Apache оказывается в отключке, его архитектура подразумевает отдельный процесс под каждое соединение.


Поздравляю!
:)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 30 июн, 2007 9:07 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 27 июн, 2004 4:26 am
Сообщения: 146
Откуда: krsk
можно было бы обойтись mod_evasive'ом. как раз рождён чтобы бороться с ДОСом )

_________________
The X files: Truth is somewhere in logs...


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика