>Некий нехороший человек научился "вешать" apache нашего сервера. Утверждает, что использользует прокси >сервера, генерирует множество запросов, сейчас уже шантажирует. Проект коммерческий, идут убытки... > > >Симтомы следующие: >1. Load Averages из команды top падает почти до 0. >2. Работает 250 httpd процессов, т.е. максимум, определенный в httpd.conf директивой MaxClients. > >3. При запросе к web страничкам через браузер происходит задержка секунд на >10-20, а затем ошибка "Невозможно отобразить страницу". Если раз 10 нажимать >"обновить страницу" - может показаться. >4. Другие серсисы сервера (FTP, SSH, ...) работают нормально. >5. Некоторые строчки из httpd.conf: > >Timeout 20 >KeepAlive On >MaxKeepAliveRequests 100 >KeepAliveTimeout 5 > ><IfModule prefork.c> >StartServers 5 >MinSpareServers 5 >MaxSpareServers 10 >MaxClients 250 >MaxRequestsPerChild 0 ></IfModule> > >Пробую с ними "играться", но не помогает. > >6. На сервере 3 Гб ОЗУ, процессор P4 3000. Операционка - FreeBSD >5.4 >7. Поставил модуль апача mod_limitipconn2, позволяющий ограничивать число соединений с одного IP. >Не помогло. >8. В access_log число запросов в порядке нормы (около 50 000 за >час), в error_log уйма строк "Rejecting client at ..." > >Надеюсь, кто-нибудь подскажет. Идти на "поводку" шантажиста-хакера не хотелось бы... Возможно, мог >бы выплатить ганарар, если помощь окажется трудоемкой... Готов отправить все логи, >любые файлы, статистиску. Возможно, логины-пароли или лично встретиться в Петербурге (оплачу >время, помощь). Конечно, предложение СРОЧНОЕ. Сколько прокси учавствует в DoS, если менее 50 то можно просто забанить их временно т.к. потеря части аудитории лучше чем полная неработоспособность. Письмо вышестоящему провайдеру/хостеру с выдержками из логов - обязательно. Для грамотного пресечения атаки необходимо выявить отличия от легального обращения: процедура установки соединения, флаги, таймауты и т.д. (В ядре задействован DROP SYN/FIN ?) Простейшее решение регистрация ещё одного IP (поможет, но не долго) SNORT - на будущее. А сейчас netstat, sockstat, tcpdump и логи в студию.
|