Kako zaustaviti blagi DOS napad - pomocu PHP-ja?

mozda top :slight_smile:
mozda tac /valog/log/apache2/access.log
mozda memfree
mozda installiras fail2ban
mozda da nabacis koji secure mod za apache
mozda das nekome da ti sredi taj dzumbus
ili
mozda uzmes tih 512MB dodatno

sve je to mozda, a mozda i nije :slight_smile:

[quote=die7]mozda top :slight_smile:
mozda tac /valog/log/apache2/access.log
mozda memfree
mozda installiras fail2ban
mozda da nabacis koji secure mod za apache
mozda das nekome da ti sredi taj dzumbus
ili
mozda uzmes tih 512MB dodatno

sve je to mozda, a mozda i nije :)[/quote]
“narucio” sam da nabace jos 512MB. sad cu provjeriti (maloprije sam ust’o) jesu li uraditi sta poto pitanju. koliko vidim, napad jos traje - stranica je nedostupna.
ja bih najradije da dam nekome da mi sredi taj dzumbus ali…

[quote=die7]mozda top :slight_smile:
mozda tac /valog/log/apache2/access.log
mozda memfree
mozda installiras fail2ban
mozda da nabacis koji secure mod za apache
mozda das nekome da ti sredi taj dzumbus
ili
mozda uzmes tih 512MB dodatno

sve je to mozda, a mozda i nije :)[/quote]
imas PM
:smiley:

imas odgovor :slight_smile:

imas i ti odgovor.
:smiley:

[quote=afan]jutros mi se jedan klijent zalio da ne moze otvoriti svoju stranicu. probam i ja - ne mogu. timed out. dok sam ceprk’o po stranici dobijem jos jedno 50-tak emailova “sta je sa stranicom?”.
kontaktiram hosting kompaniju i oni kazu kako stranica ima ogromnu posjetu i da umjesto 512MB trebam sto prije nabaciti 1GB na svoj virtualni server. ima smisla ali…
medjutim, CIJELI DAN stranica nije bila dostupna. malo prije (4 poslije podne po momvremenu) donloadiram apache access log file (idiot! trebao sam to uraditi jos jutros) i vidim da jedno 20-30 IP adresa se nonstop vrte i otvaraju jednu te istu stranicu (prilog.php). samo tu stranicu. meni to izgleda ko “blagi” DOS napad gdje cilj nije da se srusi server nego da se napravi “zauzetim”.
kontaktirao sam opet hosting kompaniju i oni rekli da ne mogu nista uciniti po tom pitanju - iako su placeni da “manage the server” (ovako znam i ja “manage”).

interesuje me imal kakva solucija da ja kontrolisem, sprijecim, uradim sta bilo po ovom pitanju - koristeci php?[/quote]
Ako imas pristup apache-ju onda mozes broj konekcija povecat i smanjiti vrijeme po otvorenoj konekciji. Ako imas pristup javi ovdje pa ti mogu objasniti. Inace ako nemozes cekat na odgovor mozes i sam po internetu potraziti.

U PHP-u bi to mogo rijesiti kontrolom kolko puta odredjena IP adresa otvori tu prilog stranicu. Na osnovu nekog limita (naprimjer 10 puta po minuti) bi ovo mozda moglo malo pomoci.
U ekstremnom slucaju ako je skripta jako spora (naprimjer 10 sekundi), onda se ti apache-limiti mogu jako brzo dostici. Ovdje onda trebas da razmislis da mozda optimaliziras samu kodu.

[quote=eddsn]Ako imas pristup apache-ju onda mozes broj konekcija povecat i smanjiti vrijeme po otvorenoj konekciji. Ako imas pristup javi ovdje pa ti mogu objasniti. Inace ako nemozes cekat na odgovor mozes i sam po internetu potraziti.

U PHP-u bi to mogo rijesiti kontrolom kolko puta odredjena IP adresa otvori tu prilog stranicu. Na osnovu nekog limita (naprimjer 10 puta po minuti) bi ovo mozda moglo malo pomoci.
U ekstremnom slucaju ako je skripta jako spora (naprimjer 10 sekundi), onda se ti apache-limiti mogu jako brzo dostici. Ovdje onda trebas da razmislis da mozda optimaliziras samu kodu.[/quote]
hvala na ponudi. ali u medjuvremenu “smo” dosli do zakljucka da “jeste” moguce ali da nije vijedno posla. a i u slucaju malo zesceg napada (kao sto je bio slucaj kod mene jer su sve napadacke IP adrese blokirane nakon haman 3 hefte) nije efektno n najmanje.

jedan clan foruma mi (jos uvijek) pomaze oko rekreiranja virtualnog servera. stvar izgleda da jos uvijek nije za ad acta ali je folder zatvoren :smiley:

u svako slucaju hvala na ponudi.

Par ideja:

  1. Server ti vraca 302 na sve. Istraziti sta je sa tom skriptom.
  2. Znacajan broj IP adresa ‘napadaca’ samo dva unikatna version string-a za browser. Vrlo vjerovatno simple file-inclusion botnet. Sakupiti ip adrese napadaca, preskenirati, pronaci (vjerovatno trivijalne) file include ranjivosti, pretraziti fajl sistem napadackih servera, pronaci skriptu i trigger mehanizam ili kontrolni kanal. Preuzeti botnet. Smijati se naglas minimalno 5 minuta.
  3. Napisati skriptu za parsing access log fajla i smjestiti je u crontab. If number of prilog.php requests within 10 seconds > 4 then add iptables drop rule for that address and write address into ‘attackers’ file.
  4. Write emails to isp’s of attacker addresses - ovo obicno vodi smanjivanju broja preuzetih masina i tako kastriras njihov mali retardirani botnet.
  5. Language string is ru. Piss off any russians? If not prolly russian script. Googling for version string might lead to finding script source.

bye

1337 :slight_smile:

Flejmovi nisu poželjni na ovom forumu. Poruke uvrjedljive za obje strane su obrisane, ako možete pomoći afanu - napišite šta konkretno ili otvorite novu temu na Off topic (btw ova tema je otvorena prije skoro 4 mjeseca, pretpostavljam da je afan nekako riješio svoje probleme već davno).

da. u medjuvremenu sam dobio pomoc server administratora koji je sredi stvar kako treba, presli smo na drugi server itd.
odgovor na pitanje koje sam postavio sam dobio i to pravo onakvo kakvo sam i pretpostavio.

vedrane, molio bih te da zatvoris ovu temu.

hvala svima koji su uspjeli ili bar pokusali da pomognu.