mozda top 
mozda tac /valog/log/apache2/access.log
mozda memfree
mozda installiras fail2ban
mozda da nabacis koji secure mod za apache
mozda das nekome da ti sredi taj dzumbus
ili
mozda uzmes tih 512MB dodatno
sve je to mozda, a mozda i nije
[quote=die7]mozda top
mozda tac /valog/log/apache2/access.log
mozda memfree
mozda installiras fail2ban
mozda da nabacis koji secure mod za apache
mozda das nekome da ti sredi taj dzumbus
ili
mozda uzmes tih 512MB dodatno
sve je to mozda, a mozda i nije :)[/quote]
ānarucioā sam da nabace jos 512MB. sad cu provjeriti (maloprije sam ustāo) jesu li uraditi sta poto pitanju. koliko vidim, napad jos traje - stranica je nedostupna.
ja bih najradije da dam nekome da mi sredi taj dzumbus aliā¦
[quote=die7]mozda top
mozda tac /valog/log/apache2/access.log
mozda memfree
mozda installiras fail2ban
mozda da nabacis koji secure mod za apache
mozda das nekome da ti sredi taj dzumbus
ili
mozda uzmes tih 512MB dodatno
sve je to mozda, a mozda i nije :)[/quote]
imas PM
imas odgovor
imas i ti odgovor.
[quote=afan]jutros mi se jedan klijent zalio da ne moze otvoriti svoju stranicu. probam i ja - ne mogu. timed out. dok sam ceprkāo po stranici dobijem jos jedno 50-tak emailova āsta je sa stranicom?ā.
kontaktiram hosting kompaniju i oni kazu kako stranica ima ogromnu posjetu i da umjesto 512MB trebam sto prije nabaciti 1GB na svoj virtualni server. ima smisla aliā¦
medjutim, CIJELI DAN stranica nije bila dostupna. malo prije (4 poslije podne po momvremenu) donloadiram apache access log file (idiot! trebao sam to uraditi jos jutros) i vidim da jedno 20-30 IP adresa se nonstop vrte i otvaraju jednu te istu stranicu (prilog.php). samo tu stranicu. meni to izgleda ko āblagiā DOS napad gdje cilj nije da se srusi server nego da se napravi āzauzetimā.
kontaktirao sam opet hosting kompaniju i oni rekli da ne mogu nista uciniti po tom pitanju - iako su placeni da āmanage the serverā (ovako znam i ja āmanageā).
interesuje me imal kakva solucija da ja kontrolisem, sprijecim, uradim sta bilo po ovom pitanju - koristeci php?[/quote]
Ako imas pristup apache-ju onda mozes broj konekcija povecat i smanjiti vrijeme po otvorenoj konekciji. Ako imas pristup javi ovdje pa ti mogu objasniti. Inace ako nemozes cekat na odgovor mozes i sam po internetu potraziti.
U PHP-u bi to mogo rijesiti kontrolom kolko puta odredjena IP adresa otvori tu prilog stranicu. Na osnovu nekog limita (naprimjer 10 puta po minuti) bi ovo mozda moglo malo pomoci.
U ekstremnom slucaju ako je skripta jako spora (naprimjer 10 sekundi), onda se ti apache-limiti mogu jako brzo dostici. Ovdje onda trebas da razmislis da mozda optimaliziras samu kodu.
[quote=eddsn]Ako imas pristup apache-ju onda mozes broj konekcija povecat i smanjiti vrijeme po otvorenoj konekciji. Ako imas pristup javi ovdje pa ti mogu objasniti. Inace ako nemozes cekat na odgovor mozes i sam po internetu potraziti.
U PHP-u bi to mogo rijesiti kontrolom kolko puta odredjena IP adresa otvori tu prilog stranicu. Na osnovu nekog limita (naprimjer 10 puta po minuti) bi ovo mozda moglo malo pomoci.
U ekstremnom slucaju ako je skripta jako spora (naprimjer 10 sekundi), onda se ti apache-limiti mogu jako brzo dostici. Ovdje onda trebas da razmislis da mozda optimaliziras samu kodu.[/quote]
hvala na ponudi. ali u medjuvremenu āsmoā dosli do zakljucka da ājesteā moguce ali da nije vijedno posla. a i u slucaju malo zesceg napada (kao sto je bio slucaj kod mene jer su sve napadacke IP adrese blokirane nakon haman 3 hefte) nije efektno n najmanje.
jedan clan foruma mi (jos uvijek) pomaze oko rekreiranja virtualnog servera. stvar izgleda da jos uvijek nije za ad acta ali je folder zatvoren
u svako slucaju hvala na ponudi.
Par ideja:
- Server ti vraca 302 na sve. Istraziti sta je sa tom skriptom.
- Znacajan broj IP adresa ānapadacaā samo dva unikatna version string-a za browser. Vrlo vjerovatno simple file-inclusion botnet. Sakupiti ip adrese napadaca, preskenirati, pronaci (vjerovatno trivijalne) file include ranjivosti, pretraziti fajl sistem napadackih servera, pronaci skriptu i trigger mehanizam ili kontrolni kanal. Preuzeti botnet. Smijati se naglas minimalno 5 minuta.
- Napisati skriptu za parsing access log fajla i smjestiti je u crontab. If number of prilog.php requests within 10 seconds > 4 then add iptables drop rule for that address and write address into āattackersā file.
- Write emails to ispās of attacker addresses - ovo obicno vodi smanjivanju broja preuzetih masina i tako kastriras njihov mali retardirani botnet.
- Language string is ru. Piss off any russians? If not prolly russian script. Googling for version string might lead to finding script source.
bye
1337
Flejmovi nisu poželjni na ovom forumu. Poruke uvrjedljive za obje strane su obrisane, ako možete pomoÄi afanu - napiÅ”ite Å”ta konkretno ili otvorite novu temu na Off topic (btw ova tema je otvorena prije skoro 4 mjeseca, pretpostavljam da je afan nekako rijeÅ”io svoje probleme veÄ davno).
da. u medjuvremenu sam dobio pomoc server administratora koji je sredi stvar kako treba, presli smo na drugi server itd.
odgovor na pitanje koje sam postavio sam dobio i to pravo onakvo kakvo sam i pretpostavio.
vedrane, molio bih te da zatvoris ovu temu.
hvala svima koji su uspjeli ili bar pokusali da pomognu.