The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Атака на сервер"
Вариант для распечатки  
Пред. тема | След. тема 
Форум WEB технологии (Построение хостинга)
Изначальное сообщение [ Отслеживать ]

"Атака на сервер"  +/
Сообщение от mar (ok) on 13-Июл-11, 15:08 
Добрый день,
Имеется выделенный сервер на FreeBSD 8 ветки в конфигурации: nginx (как frontend для обработки статики), Apache/2.2.15+mod_php(5.3.2), mysql

вчера вечером (после 18 ч) сервер (именно сервер целиком, а не только web) перестал отвечать на запросы;  проходил только ping.  

При этом ночью (с 3 до 5), по словам провайдера, была зафиксирована сетевая нагрузка до 20 Мб/с

Утром провайдер перезагрузил сервер.

В логах апача обнаружился вот такой запрос:

xxx.xxx.xxx.xxx - - [12/Jul/2011:18:14:25 +0400] "GET /строка_запроса_поиска
HT^@^@^@^@^@^@^@^@^@^@ и дальше порядка 3 тысяч вот этих самых ^@
после чего лог обрывается

т.е. очень похоже. что таким способом не только завалмвается апач, но перестает дышать вся система (что вообще-то странно).

Сталкивался ли кто-нибудь с подобным, и что можно сделать для предотвращения таких вещей?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Атака на сервер"  +/
Сообщение от Pahanivo (ok) on 13-Июл-11, 16:16 
ipfw deny all from xxx.xxx.xxx.xxx to me


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Атака на сервер"  +/
Сообщение от mar (ok) on 13-Июл-11, 16:37 
> ipfw deny all from xxx.xxx.xxx.xxx to me

естественно, но меня больше дыра беспокоит. А то придут завтра с yyy.yyy.yyy.yyy


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Атака на сервер"  +/
Сообщение от mar (ok) on 13-Июл-11, 17:32 
update:

Судя по всему, вчерашняя дыра описана:
тут: http://www.xf-russia.ru/forum/threads/%D0%9D%.../
и тут: http://www.h-online.com/open/news/item/Another-DoS-fix-for-A...

апач проапгрейден до Apache/2.2.19 в которой дыра закрыта

ну и на вский случай

включено
LimitRequestBody
и собран ModSecurity

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру