atak na serwer www - apache 1.3.x
Witaj lista!
wiem ze to troche OT i juz pisalem na liste o tym ale moze jeszcze mi
jakos pomozecie:
ktos w 3 wormach internetowych umiescil w kodzie moja domene
www.wena.net do ktorej lacza sie zarazone komputery i proboja pobierac:
q.jpg, ddd, jpg oraz my_photo.zip
http://search.symantec.com/custom/update/query.html?filter=all&nh=10&hitsceil=100&st=1&context=gbh&qt=wena.net
oczywiscie idzie to tylko na jedna domene i to dokladnie na
www.wena.net a nie wena.net
oczywiscie rezultat jest taki ze tysiace komputerkow zarazonych chce
te pliki a moj serwer www odpowiada bledem 404
powiem tylko ze dziennie mam 1 mln hitow w www.wena.net a odwiedzin
200 tysiecy :D to naprawde zabija apacha nawet ustawionego na 256
maxcon
mam tez modul antyddosowy do apacha: mod_evasive
cos tam wycina ale malo
narazie ustawilem domene www.wena.net w DNS na 127.0.0.1 i sprawa jest
teoretycznie zalatwiona poza tym ze nie moze tak byc przeciez zeby nie
dziala wiecznie
czy znacie jakas mozliwosc jeszcze jakby nad tym ddosem wormowym
zapanowac ???
probowalem w httpd.conf:
<Location /ddd.jpg>
Deny from all
ErrorDocument 403 http://localhost
</Location>
<Location /my_foto.zip>
Deny from all
ErrorDocument 403 http://localhost
</Location>
<Location /q.jpg>
Deny from all
ErrorDocument 403 http://localhost
</Location>
ale to tez duzo nie dawalo, praktycznie paralizowalo to apacha i tak
bo podawanie kodu 403 tez mu pozeralo zasoby
moze probowac na firewallu iptablesami i stringiem ??? tak zeby
przeuszczac wszystko oprocz get ddd.jpg q.jpg i tego my photo.zip ???
cos w stylu:
iptables -t mangle -N apache
iptables -t mangle -A apache -j ACCEPT
iptables -t mangle -A INPUT -m recent --name apache --update --seconds
60 --rdest -j apache
iptables -t mangle -A INPUT -m string --string "GET ddd.jpg" -m
recent --name apache --rsource --set -j apache
iptables -t mangle -A INPUT -m string --string "GET /ddd.jpg" -j DROP
drop ? reject ?? jak, moze ktos podpowiedziec ????
jeden kolega mowil tez o DNS balance w takich wypadkach ...
albo jakies przekierowanie www.wena.net na www1.wena.net ??? hm
pomozcie
--
Pozdrowienia,
bieniu gras
Reply to: