Используйте айпитейблз для защиты от атаки на ftp - Администрирование серверов

Что делать если ддосят?

grey2 · 2011-05-27T19:52:59.0000000Z

Заметил кучу процессов httpd , они то возрастают, то их меньше становится. по /server-status никаких подозрительных запросов не увидел, обычные запросы к файлам сайтов. заметил по netstat -na | grep myserver-ip | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n | uniq -c | sort -n что от 50 до 90 запросов бывает от пустого ip: -bash-3.2# netstat -na | grep myserver-ip | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n | uniq -c | sort -n 1 194.XXX.XX.XX 1 64.XX.XX.XX 1 92.XX.XX.XX 1 94.XXX.XX.XX 2 0.0.0.0 56 ещё в netstat -an | sort -k5 | more фигурирует 53 порт чаще чем 80ый, может по 53 порту ддосят? может его закрыть? Что сделать или установить? Как побанить и кого?

M

235

madoff

28 мая 2011, 12:55

#11

kxk:
grey2, Купите книгу по Циско или пройдите авторизованные курсы + купите железа и каналов на десятки тысяч долларов и не факт что у вас что-либо выйдет :)

Может ему это не понадобиться, в связи с тем, что атака слабая, и решается это всё nginx iptables bash ( или облако ), решается выносными серверами, и nginx Распределяет 😂 )

Затрат не больше 500$ :) откуда 10 000 $ не понятно.

P.S Как сказал Igor Sysoev - Что бы защититься от атаки, надо ресурсы мощнее атакующего.

Администратор Linux,Freebsd. построения крупных проектов.

В VK Cloud стали В Яндекс.Вебмастере появился новый Российские компании подверглись хакерским

822

Andreyka

28 мая 2011, 17:41

#12

kxk:

Andreyka, Iplimit более не используеться, в свежих версиях iptables connlimit с другим синтаксисом

То старая статья.

Не стоит плодить сущности без необходимости

CM

136

Cesar_Mt

28 мая 2011, 19:18

#13

grey2:
Пока переходил на nginx и разбирался с методами антиддоса решил отключить апач. Так разрослось количество proftpd профессоов

Что за такое??

Вот уже что творится:

Было однажды такое у меня. Заморачиваться не стал - попросил саппорт ДЦ временно отключить процесс proftpd, денек побыл выключенным и все... перестали брутить/ддосить proftpd.

Что же касается httpd процессов, точнее их количества, а какое у Вас в норме количество процессов?

Какой уровень la сейчас? Вы уверены, что Вас кто-то атакует? Однажды китайский бот Baidu в гости зашел ко мне как-то по особенному - навалял такое количество процессов Аппача, что пришлось его рестартануть.

kxk:
grey2, Купите книгу по Циско или пройдите авторизованные курсы + купите железа и каналов на десятки тысяч долларов и не факт что у вас что-либо выйдет

Если придерживаться Вашей логики, то тогда учиться ничему не надо... только к Вам надо обращаться за помощью постоянно.

Я понимаю, что для Вас ЭТО бизнес, и что Вы заточены под отражение атак, но все же могли бы и посоветовать человеку, раз уж Вы мануал по Циске купили и авторизованные курсы прошли )) ...

Размещу у себя на Шантажист и вымогатель hoster24.ru sape.ru. Кто, что может

822

Andreyka

28 мая 2011, 19:44

#14

Человеку я уже дал самый разумный совет. Более там советовать нечего.

169

Garin33

28 мая 2011, 19:45

#15

Решение для nginx - как ограничить кол-во подключений с 1 ip.

Для разросшихся proftpd - сменить порт ftp на какой-нибудь 23846 (proftpd.conf).

Потому что Drupal - это круто.

CM

136

Cesar_Mt

28 мая 2011, 20:17

#16

Garin33:
Для разросшихся proftpd - сменить порт ftp на какой-нибудь 23846 (proftpd.conf).

Это хороший совет, жаль, что я сам в свое время не додумался :)

388

zexis

28 мая 2011, 21:38

#17

Для защиты от атаки на ftp рекомендую. (если у админа выделенный IP)

iptables -I INPUT -s IPадмина -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j DROP

G2

138

grey2

29 мая 2011, 06:00

#18

Garin33:
Решение для nginx - как ограничить кол-во подключений с 1 ip.

это сделал сразу после того, как поставил nginx...

Что же касается httpd процессов, точнее их количества, а какое у Вас в норме количество процессов?

Какой уровень la сейчас? Вы уверены, что Вас кто-то атакует? Однажды китайский бот Baidu в гости зашел ко мне как-то по особенному - навалял такое количество процессов Аппача, что пришлось его рестартануть.

Сейчас когда атака ушла всего 3 процесса. При атаке было до 10 раз больше. Были тормоза везде, не только httpd тормозил.

Всем спасибо. Пока атака спала сама собой.

Поднимаю тИЦ (/ru/forum/752925) Покупаю QIWI (/ru/forum/684863) Налю $$$ через ePayments Card (https://www.epayments.com/registration?p=ae593ade60)

Россия опустилась на шестое Хакеры атакуют видео поисковик Google расширил функцию «Изоляция

R

77

r0mik

29 мая 2011, 12:43

#19

ставьте ограничение на сканирование, кол-во подключений за еденицу времени и т.п. посредством айпитейблз

в русской википедии nnz с лор-а очень качественную статью по айпитейблз сделал с кучей примеров, понятную даже новичку...

все это кстати не очень на ддос похоже. скорей всего банальное сканирование по http и брут по ftp. 404 у вас скорей всего обрабатывается в cms, отсюда и нагрузка. в первом случае помогает правильная настройка nginx (лимиты, еще можно скрипт написать для забана айпи-адресов которые к примеру 10 раз получали 404 за определенный промежуток времени и повесить его в крон). во втором случае iptables -m recent (в википедии есть примеры)

Google: как изменить скорость Google покажет влияние закрытых Google: это нормально, если

G2

138

grey2

30 мая 2011, 08:00

#20

в продолжение темы

вчера заметил, что разраслось количество процессов exim

то есть уже разрасталось proftp, httpd - всегда много, вчера много было exim'a.

это сканирование портов?

а могут бота какого-нибудь на сервер поставить? и как это проверить?

Google: как изменить скорость Search Console перестал показывать Апдейты Google могут влиять

Переиграть и победить: как анализировать конкурентов для продвижения сайта

В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах

Что делать если ддосят?