forum.opennet.ru

Составление сообщения

Исходное сообщение

"DoS атака на apache - что делать?"
Отправлено Deac, 18-Май-07 14:26

>Некий нехороший человек научился "вешать" apache нашего сервера. Утверждает, что использользует прокси
>сервера, генерирует множество запросов, сейчас уже шантажирует. Проект коммерческий, идут убытки...
>
>
>Симтомы следующие:
>1. Load Averages из команды top падает почти до 0.
>2. Работает 250 httpd процессов, т.е. максимум, определенный в httpd.conf директивой MaxClients.
>
>3. При запросе к web страничкам через браузер происходит задержка секунд на
>10-20, а затем ошибка "Невозможно отобразить страницу". Если раз 10 нажимать
>"обновить страницу" - может показаться.
>4. Другие серсисы сервера (FTP, SSH, ...) работают нормально.
>5. Некоторые строчки из httpd.conf:
>
>Timeout 20
>KeepAlive On
>MaxKeepAliveRequests 100
>KeepAliveTimeout 5
>
><IfModule prefork.c>
>StartServers 5
>MinSpareServers 5
>MaxSpareServers 10
>MaxClients 250
>MaxRequestsPerChild 0
></IfModule>
>
>Пробую с ними "играться", но не помогает.
>
>6. На сервере 3 Гб ОЗУ, процессор P4 3000. Операционка - FreeBSD
>5.4
>7. Поставил модуль апача mod_limitipconn2, позволяющий ограничивать число соединений с одного IP.
>Не помогло.
>8. В access_log число запросов в порядке нормы (около 50 000 за
>час), в error_log уйма строк "Rejecting client at ..."
>
>Надеюсь, кто-нибудь подскажет. Идти на "поводку" шантажиста-хакера не хотелось бы... Возможно, мог
>бы выплатить ганарар, если помощь окажется трудоемкой... Готов отправить все логи,
>любые файлы, статистиску. Возможно, логины-пароли или лично встретиться в Петербурге (оплачу
>время, помощь). Конечно, предложение СРОЧНОЕ.
Сколько прокси учавствует в DoS, если менее 50 то можно просто забанить их временно т.к. потеря части аудитории лучше чем полная неработоспособность.
Письмо вышестоящему провайдеру/хостеру с выдержками из логов - обязательно.
Для грамотного пресечения атаки необходимо выявить отличия от легального обращения: процедура установки соединения, флаги, таймауты и т.д. (В ядре задействован DROP SYN/FIN ?)
Простейшее решение регистрация ещё одного IP (поможет, но не долго)
SNORT - на будущее.
А сейчас netstat, sockstat, tcpdump и логи в студию.

Исходное сообщение
"DoS атака на apache - что делать?" Отправлено Deac, 18-Май-07 14:26
>Некий нехороший человек научился "вешать" apache нашего сервера. Утверждает, что использользует прокси >сервера, генерирует множество запросов, сейчас уже шантажирует. Проект коммерческий, идут убытки... > > >Симтомы следующие: >1. Load Averages из команды top падает почти до 0. >2. Работает 250 httpd процессов, т.е. максимум, определенный в httpd.conf директивой MaxClients. > >3. При запросе к web страничкам через браузер происходит задержка секунд на >10-20, а затем ошибка "Невозможно отобразить страницу". Если раз 10 нажимать >"обновить страницу" - может показаться. >4. Другие серсисы сервера (FTP, SSH, ...) работают нормально. >5. Некоторые строчки из httpd.conf: > >Timeout 20 >KeepAlive On >MaxKeepAliveRequests 100 >KeepAliveTimeout 5 > ><IfModule prefork.c> >StartServers 5 >MinSpareServers 5 >MaxSpareServers 10 >MaxClients 250 >MaxRequestsPerChild 0 ></IfModule> > >Пробую с ними "играться", но не помогает. > >6. На сервере 3 Гб ОЗУ, процессор P4 3000. Операционка - FreeBSD >5.4 >7. Поставил модуль апача mod_limitipconn2, позволяющий ограничивать число соединений с одного IP. >Не помогло. >8. В access_log число запросов в порядке нормы (около 50 000 за >час), в error_log уйма строк "Rejecting client at ..." > >Надеюсь, кто-нибудь подскажет. Идти на "поводку" шантажиста-хакера не хотелось бы... Возможно, мог >бы выплатить ганарар, если помощь окажется трудоемкой... Готов отправить все логи, >любые файлы, статистиску. Возможно, логины-пароли или лично встретиться в Петербурге (оплачу >время, помощь). Конечно, предложение СРОЧНОЕ. Сколько прокси учавствует в DoS, если менее 50 то можно просто забанить их временно т.к. потеря части аудитории лучше чем полная неработоспособность. Письмо вышестоящему провайдеру/хостеру с выдержками из логов - обязательно. Для грамотного пресечения атаки необходимо выявить отличия от легального обращения: процедура установки соединения, флаги, таймауты и т.д. (В ядре задействован DROP SYN/FIN ?) Простейшее решение регистрация ещё одного IP (поможет, но не долго) SNORT - на будущее. А сейчас netstat, sockstat, tcpdump и логи в студию.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>Некий нехороший человек научился "вешать" apache нашего сервера. Утверждает, что использользует прокси 
>>сервера, генерирует множество запросов, сейчас уже шантажирует. Проект коммерческий, идут убытки...
>> 
>> 
>>Симтомы следующие: 
>>1. Load Averages из команды top падает почти до 0.
>>2. Работает 250 httpd процессов, т.е. максимум, определенный в httpd.conf директивой MaxClients.
>> 
>>3. При запросе к web страничкам через браузер происходит задержка секунд на 
>>10-20, а затем ошибка "Невозможно отобразить страницу". Если раз 10 нажимать 
>>"обновить страницу" - может показаться.
>>4. Другие серсисы сервера (FTP, SSH, ...) работают нормально.
>>5. Некоторые строчки из httpd.conf: 
>> 
>>Timeout 20 
>>KeepAlive On 
>>MaxKeepAliveRequests 100 
>>KeepAliveTimeout 5 
>> 
>><IfModule prefork.c> 
>>StartServers 5 
>>MinSpareServers 5 
>>MaxSpareServers 10 
>>MaxClients 250 
>>MaxRequestsPerChild 0 
>></IfModule> 
>> 
>>Пробую с ними "играться", но не помогает.
>> 
>>6. На сервере 3 Гб ОЗУ, процессор P4 3000. Операционка - FreeBSD 
>>5.4 
>>7. Поставил модуль апача mod_limitipconn2, позволяющий ограничивать число соединений с одного IP.
>>Не помогло.
>>8. В access_log число запросов в порядке нормы (около 50 000 за 
>>час), в error_log уйма строк "Rejecting client at ..." 
>> 
>>Надеюсь, кто-нибудь подскажет. Идти на "поводку" шантажиста-хакера не хотелось бы... Возможно, мог 
>>бы выплатить ганарар, если помощь окажется трудоемкой... Готов отправить все логи, 
>>любые файлы, статистиску. Возможно, логины-пароли или лично встретиться в Петербурге (оплачу 
>>время, помощь). Конечно, предложение СРОЧНОЕ.

> Сколько прокси учавствует в DoS, если менее 50 то можно просто забанить 
> их временно т.к. потеря части аудитории лучше чем полная неработоспособность.
> Письмо вышестоящему провайдеру/хостеру с выдержками из логов - обязательно.
> Для грамотного пресечения атаки необходимо выявить отличия от легального обращения: процедура 
> установки соединения, флаги, таймауты и т.д. (В ядре задействован DROP SYN/FIN 
> ?) 
> Простейшее решение регистрация ещё одного IP (поможет, но не долго) 
> SNORT - на будущее.

> А сейчас netstat, sockstat, tcpdump и логи в студию.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру