Re: atak na serwer www - apache 1.3.x
On Wed, Feb 08, 2006 at 11:09:47AM +0100, bieniu gras wrote:
> Witaj lista!
Hej!
> ktos w 3 wormach internetowych umiescil w kodzie moja domene
> www.wena.net do ktorej lacza sie zarazone komputery i proboja pobierac:
Ale ktos mial wene... Przyjmij moje wyrazy wspolczucia ;)
> oczywiscie rezultat jest taki ze tysiace komputerkow zarazonych chce
> te pliki a moj serwer www odpowiada bledem 404
A moze zamiast serwowac komunikat bledu 40x moglbys udostepniac te
wlasnie pliki o zerowej dlugosci? ;) Na pewno zmniejszyloby to ruch
w sieci.
> czy znacie jakas mozliwosc jeszcze jakby nad tym ddosem wormowym
> zapanowac ???
>
> probowalem w httpd.conf:
>
> <Location /ddd.jpg>
> Deny from all
> ErrorDocument 403 http://localhost
> </Location>
O ile wiem, w linijce z ErrorDocument zamiast adresu mozesz tez uzyc
jakiegos napisu, np. "Pocaluj mnie w nos!" ;) Bedzie mial wprawdzie
wiecej niz 0 bajtow, ale lepsze to niz komunikat bledu 40x.
> moze probowac na firewallu iptablesami i stringiem ??? tak zeby
> przeuszczac wszystko oprocz get ddd.jpg q.jpg i tego my photo.zip ???
Jesli do Twojego Apache'a w ogole nie maja dochodzic zapytania
o te pliki, a to wydaje sie byc najlepszym rozwiazaniem, to trzeba
je wycinac gdzies "wczesniej", byc moze na firewallu. Niestety az
taki biegly w iptables to ja nie jestem.
> cos w stylu:
>
> iptables -t mangle -N apache
> iptables -t mangle -A apache -j ACCEPT
> iptables -t mangle -A INPUT -m recent --name apache --update --seconds
> 60 --rdest -j apache
> iptables -t mangle -A INPUT -m string --string "GET ddd.jpg" -m
> recent --name apache --rsource --set -j apache
> iptables -t mangle -A INPUT -m string --string "GET /ddd.jpg" -j DROP
>
> drop ? reject ?? jak, moze ktos podpowiedziec ????
A dziala zarowno DROP, jak i REJECT? Ja bym wybral REJECT,
bo szybciej zakonczy polaczenie z klientem.
> jeden kolega mowil tez o DNS balance w takich wypadkach ...
> albo jakies przekierowanie www.wena.net na www1.wena.net ??? hm
A co bedzie pod www1.wena.net?
Pozdrawiam,
P.
Reply to: