Status-X. Атаки на сервер

Добрый день, Гость! Представляем Вам наши форумы. Вы можете зарегистрироваться что бы писать на форумах или зайдите под своим именем, если Вы уже регистрировались.

Форумы

Пользователи

Календарь

Помощь

Поиск

Новые сообщения

Новые темы

Темы без ответов

Форумы

CMS Status-X / Основная тема

Status-X. Атаки на сервер

Похожие темы | Печать страницы

Ссылка на сообщение в теме Ссылка на страницу сообщения

Четверг, 24.11.2011, 19:16

IKZOKZ

Группа: Пользователь

Ранг: Новичек

Cообщений: 70

Регистрация: 16.04.2010

Город: IKZOKZ

Несколько дней назад боролся с не понятной атакой на мой сервер.
Во время атаки сервер был перегружен и сайт не работал.
Меняя пароль или имя пользователя в базе, где установлена сборка (1.03 WE) сервак сразу успокаивался.
При восстановлении пароля или имя пользователя сервер в прямом смысле взрывался.
В логах нашел несколько ip которые создавали запросы к моему сайту меняя сигнатуры OS, браузер и тп…
Добавил эти ip в глобальных настройках > Черный список IP адресов. Вроде помогло, хотя не совсем уверен что именно это помогло.
Может просто перестали досить…
Что это вообще за атака? Знает кто про такую фишку?

Отредактировано IKZOKZ: 24.11.2011, 19:17:48

Распечатать

Ссылка на сообщение в теме Ссылка на страницу сообщения

Четверг, 24.11.2011, 20:24

Status-X Посмотреть профиль пользователя Показать все сообщения Группа: Администратор Cообщений: 2055 Регистрация: 24.10.2009 Город: Санкт-Петербург	Обычный ддос. Тут надо логи апача анализировать, какие страницы стали основным объектом атаки Заработай на своем сайте Сервис коротких ссылок
	Распечатать

Ссылка на сообщение в теме Ссылка на страницу сообщения

Пятница, 25.11.2011, 13:30

IKZOKZ

Автор текущей темы

Группа: Пользователь

Ранг: Новичек

Cообщений: 70

Регистрация: 16.04.2010

Город: IKZOKZ

Цитата

Автор: Status-X
Обычный ддос. Тут надо логи апача анализировать, какие страницы стали основным объектом атаки

вот кусок лога

Код

41.107.2.5 - - [18/Nov/2011:15:20:00 +0100] "GET /index.php HTTP/1.1" 200 3080 "http://pentagon.afis.osd.mil/" "Opera/7.51 (Windows NT 5.1; U) [en]"

113.167.55.35 - - [18/Nov/2011:15:20:00 +0100] "GET /index.php HTTP/1.1" 200 29 "-" "-"

41.107.2.5 - - [18/Nov/2011:15:20:00 +0100] "GET /index.php HTTP/1.1" 200 29 "-" "-"

212.116.178.249 - - [18/Nov/2011:15:20:00 +0100] "GET /index.php?l=1 HTTP/1.1" 200 29 "-" "-"

Добавлено IKZOKZ: 25.11.2011, 13:30:30
еще вот такая хрень забивает лог

Код

::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"

::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"

::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"

::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"

::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"

::1 - - [22/Nov/2011:12:46:08 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache (internal dummy connection)"

как я понял надо что-то в моды добавить...
http://inventivelabs.com.au/weblog/post/apache-s-internal-dummy-connection

Распечатать

Ссылка на сообщение в теме Ссылка на страницу сообщения

Пятница, 25.11.2011, 13:40

hope Посмотреть профиль пользователя Показать все сообщения Группа: sx-studio Ранг: Продвинутый Cообщений: 238 Регистрация: 18.02.2010 Город: ua	pentagon.afis.osd.mil особо в логах порадовал адресок. Всегда так не будет, все меняется... ЕЛЕОН Все о вышивке и одежде. Ризница мазаин церковного шитья.
	Распечатать

Ссылка на сообщение в теме Ссылка на страницу сообщения

Пятница, 25.11.2011, 14:49

Status-X

Группа: Администратор

Cообщений: 2055

Регистрация: 24.10.2009

Город: Санкт-Петербург

internal dummy connection это внутренний пробуждающий запрос апача, и при правильной настройке сервера он не возникает. К сожалению сам я с таким не сталкивался и что именно настраивать не знаю.
Но такую хрень можно победить вставкой ниже указанного кода в самый верх корневого index.php

PHP-код


if (isset($_SERVER['REQUEST_URI'], $_SERVER['REQUEST_METHOD']) && $_SERVER['REQUEST_URI'] == '*' && $_SERVER['REQUEST_METHOD'] == 'NS') exit('OK');

Заработай на своем сайте
Сервис коротких ссылок

Распечатать

Ссылка на сообщение в теме Ссылка на страницу сообщения

Пятница, 25.11.2011, 16:20

IKZOKZ

Автор текущей темы

Группа: Пользователь

Ранг: Новичек

Cообщений: 70

Регистрация: 16.04.2010

Город: IKZOKZ

Цитата

Автор: Status-X
internal dummy connection это внутренний пробуждающий запрос апача, и при правильной настройке сервера он не возникает. К сожалению сам я с таким не сталкивался и что именно настраивать не знаю.
Но такую хрень можно победить вставкой ниже указанного кода в самый верх корневого index.php

PHP-код


if (isset($_SERVER['REQUEST_URI'], $_SERVER['REQUEST_METHOD']) && $_SERVER['REQUEST_URI'] == '*' && $_SERVER['REQUEST_METHOD'] == 'NS') exit('OK');

вставил, перезапустил апач и всераво пишет в лог

Отредактировано IKZOKZ: 25.11.2011, 16:25:15

Распечатать

Ссылка на сообщение в теме Ссылка на страницу сообщения

Пятница, 25.11.2011, 16:25

Status-X

Группа: Администратор

Cообщений: 2055

Регистрация: 24.10.2009

Город: Санкт-Петербург

Цитата

вставил, перезапустил апач и всераво пишет в лог

В лог оно в любом случае будет писать, но зато скрипт не будет выполняться если к нему обращается апач, нагрузка должна упасть в два раза, то есть будет соответствовать нормальной работе сервера

Заработай на своем сайте
Сервис коротких ссылок

Благодарности IKZOKZ

Распечатать

Похожие темы | Печать страницы | Предыдущая тема | Следующая тема

Быстрый переход:

Сейчас на сайте

Пользователей: 0, Гостей: 7

Поисковые боты: 8
Googlebot(2), Unknown Bot(5), Yandex

Статистика форума

	Темы	Сообщения	Пользователи
За сутки:	2	4	3
За неделю:	8	30	47
За месяц:	33	129	188
Всего:	882	6523	1361
Мы приветствуем нового участника: al3x85

Дни рождения

Serega (43)