Re: atak na serwer www - apache 1.3.x

To: lista debiana <debian-user-polish@lists.debian.org>
Subject: Re: atak na serwer www - apache 1.3.x
From: Paweł Tęcza <ptecza@debianusers.pl>
Date: Wed, 8 Feb 2006 12:09:06 +0100
Message-id: <[🔎] 20060208110906.GA23461@debianusers.pl>
In-reply-to: <[🔎] 122439985.20060208110947@gras.poznan.pl>
References: <[🔎] 122439985.20060208110947@gras.poznan.pl>

On Wed, Feb 08, 2006 at 11:09:47AM +0100, bieniu gras wrote:
> Witaj lista!

Hej!

> ktos w 3 wormach internetowych umiescil w kodzie moja domene
> www.wena.net do ktorej lacza sie zarazone komputery i proboja pobierac:

Ale ktos mial wene... Przyjmij moje wyrazy wspolczucia ;)

> oczywiscie rezultat jest taki ze tysiace komputerkow zarazonych chce
> te pliki a moj serwer www odpowiada bledem 404

A moze zamiast serwowac komunikat bledu 40x moglbys udostepniac te
wlasnie pliki o zerowej dlugosci? ;) Na pewno zmniejszyloby to ruch
w sieci.

> czy znacie jakas mozliwosc jeszcze jakby nad tym ddosem wormowym
> zapanowac ???
> 
> probowalem w httpd.conf:
> 
> <Location /ddd.jpg>
>     Deny from all
>     ErrorDocument 403 http://localhost
> </Location>

O ile wiem, w linijce z ErrorDocument zamiast adresu mozesz tez uzyc
jakiegos napisu, np. "Pocaluj mnie w nos!" ;) Bedzie mial wprawdzie
wiecej niz 0 bajtow, ale lepsze to niz komunikat bledu 40x.

> moze probowac na firewallu iptablesami i stringiem ??? tak zeby
> przeuszczac wszystko oprocz get ddd.jpg q.jpg i tego my photo.zip ???

Jesli do Twojego Apache'a w ogole nie maja dochodzic zapytania
o te pliki, a to wydaje sie byc najlepszym rozwiazaniem, to trzeba
je wycinac gdzies "wczesniej", byc moze na firewallu. Niestety az
taki biegly w iptables to ja nie jestem.

> cos w stylu:
> 
> iptables -t mangle -N apache
> iptables -t mangle -A apache -j ACCEPT
> iptables -t mangle -A INPUT -m recent --name apache --update --seconds
> 60 --rdest -j apache
> iptables -t mangle -A INPUT -m string --string "GET ddd.jpg" -m
> recent --name apache --rsource --set -j apache
> iptables -t mangle -A INPUT -m string --string "GET /ddd.jpg" -j DROP
> 
> drop ? reject ?? jak, moze ktos podpowiedziec ????

A dziala zarowno DROP, jak i REJECT? Ja bym wybral REJECT,
bo szybciej zakonczy polaczenie z klientem.

> jeden kolega mowil tez o DNS balance w takich wypadkach ...
> albo jakies przekierowanie www.wena.net na www1.wena.net ??? hm

A co bedzie pod www1.wena.net?

Pozdrawiam,

P.

Reply to:

Follow-Ups:
- Re: atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>

References:
- atak na serwer www - apache 1.3.x
  - From: bieniu gras <bieniu@gras.poznan.pl>

Prev by Date: serwer xSeries 306
Next by Date: Re: serwer xSeries 306
Previous by thread: atak na serwer www - apache 1.3.x
Next by thread: Re: atak na serwer www - apache 1.3.x
Index(es):
- Date
- Thread