Добрый день, Гость! Представляем Вам наши форумы. Вы можете зарегистрироваться чтобы писать на форумах или зайдите под своим именем, если Вы уже регистрировались.
   
   


Форум
 CMS Status-X | Основная тема
         Status-X. Атаки на сервер

Похожие темы  |  Печать страницы

Status-X. Атаки на сервер


События Четверг, 24.11.2011, 19:16

IKZOKZ

Группа: Пользователь
Ранг: Продвинутый
Cообщений: 115
Регистрация: 16.04.2010
Город: IKZOKZ
Несколько дней назад боролся с не понятной атакой на мой сервер.
Во время атаки сервер был перегружен и сайт не работал.
Меняя пароль или имя пользователя в базе, где установлена сборка (1.03 WE) сервак сразу успокаивался.
При восстановлении пароля или имя пользователя сервер в прямом смысле взрывался.
В логах нашел несколько ip которые создавали запросы к моему сайту меняя сигнатуры OS, браузер и тп…
Добавил эти ip в глобальных настройках > Черный список IP адресов. Вроде помогло, хотя не совсем уверен что именно это помогло.
Может просто перестали досить…
Что это вообще за атака? Знает кто про такую фишку?


Отредактировано IKZOKZ: 24.11.2011, 19:17:48

Пользователь офлайн
События Четверг, 24.11.2011, 20:24

Status-X

Группа: Администратор
Cообщений: 3005
Регистрация: 23.10.2009
Город: Санкт-Петербург
Обычный ддос. Тут надо логи апача анализировать, какие страницы стали основным объектом атаки


Пользователь офлайн
События Пятница, 25.11.2011, 13:30

IKZOKZ

Автор текущей темы
Группа: Пользователь
Ранг: Продвинутый
Cообщений: 115
Регистрация: 16.04.2010
Город: IKZOKZ
Цитата
Автор: Status-X
Обычный ддос. Тут надо логи апача анализировать, какие страницы стали основным объектом атаки


вот кусок лога
Код
41.107.2.5 - - [18/Nov/2011:15:20:00 +0100] "GET /index.php HTTP/1.1" 200 3080 "http://pentagon.afis.osd.mil/" "Opera/7.51 (Windows NT 5.1; U) [en]"
113.167.55.35 - - [18/Nov/2011:15:20:00 +0100] "GET /index.php HTTP/1.1" 200 29 "-" "-"
41.107.2.5 - - [18/Nov/2011:15:20:00 +0100] "GET /index.php HTTP/1.1" 200 29 "-" "-"
212.116.178.249 - - [18/Nov/2011:15:20:00 +0100] "GET /index.php?l=1 HTTP/1.1" 200 29 "-" "-"


Добавлено IKZOKZ: 25.11.2011, 13:30:30
еще вот такая хрень забивает лог
Код
::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"
::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"
::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"
::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"
::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"
::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"

как я понял надо что-то в моды добавить...
http://inventivelabs.com.au/weblog/post/apache-s-internal-dummy-connection
Пользователь офлайн
События Пятница, 25.11.2011, 13:40

HopE

Группа: Пользователь
Ранг: Продвинутый
Cообщений: 284
Регистрация: 18.02.2010
Город: ua
pentagon.afis.osd.mil особо в логах порадовал адресок.


Всегда так не будет, все меняется...
ЕЛЕОН Все о вышивке и одежде.
Ризница магазин церковного шитья.
Пользователь офлайн
События Пятница, 25.11.2011, 14:49

Status-X

Группа: Администратор
Cообщений: 3005
Регистрация: 23.10.2009
Город: Санкт-Петербург
internal dummy connection это внутренний пробуждающий запрос апача, и при правильной настройке сервера он не возникает. К сожалению сам я с таким не сталкивался и что именно настраивать не знаю.
Но такую хрень можно победить вставкой ниже указанного кода в самый верх корневого index.php

PHP-код
if (isset($_SERVER['REQUEST_URI'], $_SERVER['REQUEST_METHOD']) && $_SERVER['REQUEST_URI'] == '*' && $_SERVER['REQUEST_METHOD'] == 'NS') exit('OK');



Пользователь офлайн
События Пятница, 25.11.2011, 16:20

IKZOKZ

Автор текущей темы
Группа: Пользователь
Ранг: Продвинутый
Cообщений: 115
Регистрация: 16.04.2010
Город: IKZOKZ
Цитата
Автор: Status-X
internal dummy connection это внутренний пробуждающий запрос апача, и при правильной настройке сервера он не возникает. К сожалению сам я с таким не сталкивался и что именно настраивать не знаю.
Но такую хрень можно победить вставкой ниже указанного кода в самый верх корневого index.php

PHP-код
if (isset($_SERVER['REQUEST_URI'], $_SERVER['REQUEST_METHOD']) && $_SERVER['REQUEST_URI'] == '*' && $_SERVER['REQUEST_METHOD'] == 'NS') exit('OK');


вставил, перезапустил апач и всераво пишет в лог




Отредактировано IKZOKZ: 25.11.2011, 16:25:15
Пользователь офлайн
События Пятница, 25.11.2011, 16:25

Status-X

Группа: Администратор
Cообщений: 3005
Регистрация: 23.10.2009
Город: Санкт-Петербург
Цитата
вставил, перезапустил апач и всераво пишет в лог

В лог оно в любом случае будет писать, но зато скрипт не будет выполняться если к нему обращается апач, нагрузка должна упасть в два раза, то есть будет соответствовать нормальной работе сервера


Благодарности IKZOKZ
Пользователь офлайн
События Понедельник, 03.09.2012, 15:21

Status-X

Группа: Администратор
Cообщений: 3005
Регистрация: 23.10.2009
Город: Санкт-Петербург
Этот код игнорирует пробуждающие запросы апача.
Данное решение костыль для неверно настроенных серверов и верда принести не может.

Кстати для последних обновлений этот код не актуален, все встроенно в систему, и борьба с запросами апача выполняется другим образом.




Пользователь офлайн


Похожие темы  |  Печать страницы  |   Предыдущая тема  |   Следующая тема

Быстрый переход:  
 

 Сейчас на сайте


Пользователей: 0, Гостей: 6

Поисковые боты: 8
Unknown Bot(2), Googlebot, Inktomi Slurp, BingBot(3), Yandex

 Статистика форума


  Темы Сообщения Пользователи
За сутки:
За неделю:
За месяц:
Всего:
Мы приветствуем нового участника: Lesya

 Дни рождения


TEPMIT (34), system (22)
Печать | Copyright © 2009 - 2016 Status-X All rights reserved | Powered by CMS Status-X 1.05 | Контакты