atak na serwer www - apache 1.3.x

To: lista debiana <debian-user-polish@lists.debian.org>
Subject: atak na serwer www - apache 1.3.x
From: bieniu gras <bieniu@gras.poznan.pl>
Date: Wed, 8 Feb 2006 11:09:47 +0100
Message-id: <[🔎] 122439985.20060208110947@gras.poznan.pl>
Reply-to: bieniu gras <bieniu@gras.poznan.pl>

Witaj lista!

wiem ze to troche OT i juz pisalem na liste o tym ale moze jeszcze mi
jakos pomozecie:

ktos w 3 wormach internetowych umiescil w kodzie moja domene
www.wena.net do ktorej lacza sie zarazone komputery i proboja pobierac:

q.jpg, ddd, jpg oraz my_photo.zip

http://search.symantec.com/custom/update/query.html?filter=all&nh=10&hitsceil=100&st=1&context=gbh&qt=wena.net

oczywiscie idzie to tylko na jedna domene i to dokladnie na
www.wena.net a nie wena.net

oczywiscie rezultat jest taki ze tysiace komputerkow zarazonych chce
te pliki a moj serwer www odpowiada bledem 404

powiem tylko ze dziennie mam 1 mln hitow w www.wena.net a odwiedzin
200 tysiecy :D to naprawde zabija apacha nawet ustawionego na 256
maxcon

mam tez modul antyddosowy do apacha:  mod_evasive
cos tam wycina ale malo

narazie ustawilem domene www.wena.net w DNS na 127.0.0.1 i sprawa jest
teoretycznie zalatwiona poza tym ze nie moze tak byc przeciez zeby nie
dziala wiecznie

czy znacie jakas mozliwosc jeszcze jakby nad tym ddosem wormowym
zapanowac ???

probowalem w httpd.conf:

<Location /ddd.jpg>
    Deny from all
    ErrorDocument 403 http://localhost
</Location>

<Location /my_foto.zip>
    Deny from all
    ErrorDocument 403 http://localhost
</Location>

<Location /q.jpg>
    Deny from all
    ErrorDocument 403 http://localhost
</Location>

ale to tez duzo nie dawalo, praktycznie paralizowalo to apacha i tak
bo podawanie kodu 403 tez mu pozeralo zasoby

moze probowac na firewallu iptablesami i stringiem ??? tak zeby
przeuszczac wszystko oprocz get ddd.jpg q.jpg i tego my photo.zip ???

cos w stylu:

iptables -t mangle -N apache
iptables -t mangle -A apache -j ACCEPT
iptables -t mangle -A INPUT -m recent --name apache --update --seconds
60 --rdest -j apache
iptables -t mangle -A INPUT -m string --string "GET ddd.jpg" -m
recent --name apache --rsource --set -j apache
iptables -t mangle -A INPUT -m string --string "GET /ddd.jpg" -j DROP

drop ? reject ?? jak, moze ktos podpowiedziec ????

jeden kolega mowil tez o DNS balance w takich wypadkach ...
albo jakies przekierowanie www.wena.net na www1.wena.net ??? hm

pomozcie

-- 
Pozdrowienia,
 bieniu gras

Reply to:

Follow-Ups:
- Re: atak na serwer www - apache 1.3.x
  - From: Paweł Tęcza <ptecza@debianusers.pl>
- Re: atak na serwer www - apache 1.3.x
  - From: Marcin Owsiany <porridge@debian.org>
- Re: atak na serwer www - apache 1.3.x
  - From: Marek Wyrzykowski <mwm@tenbit.pl>

Prev by Date: Re: syslog-ng i debian SID
Next by Date: Re: postfix+wirtualni userzy + maildrop
Previous by thread: Re: no to się porobiło ...
Next by thread: Re: atak na serwer www - apache 1.3.x
Index(es):
- Date
- Thread