Atak na serwer (cos pod Dos)

[maciej92 0]

Witam,

ostatnio mam problem z pewnym gościem za zbanowanie go na stronie postanowił się poznęcać i pozapychać RPS'a w OVH. Działa na takiej zasadzie, że zrobił strone na której są umieszczone dziesiątki iframe z dużymi plikami z serwera. W ciagu dnia potrafi przejść nawet milion zapytań HTTP przezto i strona jest prawie całkowicie zablokowana.

Blokowanie w .htaccess poprzez: RewriteRule nie daje efektu.

Dodam, że każde wejście przez niego ma taki sam adres refera.

Czy istnieje jakiś inny sposób na zablokowanie czegoś takiego?

Dodam, że blokada w iptables nie wchodzi wgre ponieważ używane przez niego ip pochodzą z całego świata od Chin do USA.

Pozdrawiam, Maciej

[Linux 0]

Blokowanie w .htaccess poprzez: RewriteRule nie daje efektu.

Dodam, że każde wejście przez niego ma taki sam adres refera.

Czy istnieje jakiś inny sposób na zablokowanie czegoś takiego?

 

Dziwne, a możesz pokazać jak to blokujesz? .

 

Pozdr.

[maciej92 0]

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://(.+\.)?********\.pl/ [NC] 
RewriteRule .* - [F]

Dodam, że w logach pojawiaja się wtedy przy nim bląd 403 ale i tak to zapycha serwer

[conra 10]

Spróbuj połączenia iptables + fail2ban, opisane masz na przykładzie w00tw00t http://www.omnicom.pl/?p=45

pozdrawiam

[maciej92 0]

Zainstalowałem fail2ban skonfigurowałem na wylapywanie referera ale nie działa jak należy tz nie dodaje nikogo do zablokowanych.

[sorrow 0]

1. Ogranicz liczbę połączeń przez jedno IP było ostatnio o tym

2. Ogranicz przepustowość każdy klient będzie miał tyle ile mu potrzeba

 

example: http://blip.tv/file/1781922/

 

Normalnie na stronie można by sprawdzić czy strona jest w iframe np.

 

if (top.location == self.location) location.href = 'hell ';

 

Lecz tutaj gostek po prostu ładuje grafikę czy jakiś większy plik zapewne z jakiejś strony żebyś tylko znał adres mógłbyś napisać do adminów.

 

<iframe id="1" src="http://www.target.bla"></iframe>

<script>

var c=0;

function run()

{

c++;

document.getElementById(1).src="http://www.target.bla/?"+c;

setTimeout("run()", 500);

}

run();

</script>

Działa to jakoś tak, czyli jedynie można wykryć to poprzez referer

i brak ciastka doklejanego do każdego nagłówka plików php

 

 

 

#ANTI Slowloris HTTP DoS

 

LoadModule limitipconn_module modules/mod_limitipconn.dll

ExtendedStatus On

<IfModule mod_limitipconn.c>

<Location />

MaxConnPerIP 12

# exempting images from the connection limit is often a good

# idea if your web page has lots of inline images, since these

# pages often generate a flurry of concurrent image requests

</Location>

 

</IfModule>

 

mod bandwitch

 

<VirtualHost *>

BandwidthModule On

ForceBandWidthModule On

BandWidth all 512000

MinBandWidth all 64000

LargeFileLimit * 2000 30720

LargeFileLimit * 10240 20480

BandWidth 127.0.0.1 0

</VirtualHost>

[maciej92 0]

Wszystkie rozwiazania zastosowałem i jest już lepiej narazie jeszcze myśle aby zoptymalizować jakoś apacha bo wiesza się gdzies po 5 minutach ale przez 5 minut można normalnie kożystać.

Co do adresu strony to je znam i napisze jutro do ludzi. Bo połączenia przychodzą z cba.pl, ddl2.pl, home.pl i może coś się da zrobić.

Pozdrawiam

[Linux 0]

To wytnij po prostu ip tych serwerów, nikt przecież nie korzysta z serwera w nazwie do przeglądania stron www, no chyba że proxy.. ale to co innego .

 

Pozdr

[m.p 0]

w sumie prosty sposób - może po prostu zmienić nazwy tych plików? odwołania do starych będą serwowały 404.

 

jeśli kolega nie zauważy to powinno pomóc

[sorrow 0]

Tutaj nie wystarczy wytnąć adresy serwerów gdyż to tak naprawdę użytkownicy wchodzący na tą stronę otwierają ramkę.

 

Zgłoś te strony do jakiejś bazy z która zbiera informacje o niebezpiecznych stronach jak będzie komunikat iż strona może być niebezpieczna to prawie nikt tam nie będzie wchodził i skończą się ataki

 

http://www.google.com/safebrowsing/report_badware/

[maciej92 0]

Pliki już wcześniej wyciałem .httaccess tylko na strone główna też są wejścia i apache nie wyrabia z php i 500 userów w ciagu 5 minut