Установка Nginx фронтендом - чтобы закрыть доступ со стран с которых происходила атака? - Администрирование серверов

Первый VPS, первый DDoS

Netman_avs · 2013-05-06T13:49:38.0000000Z

Всем привет! Преамбула такова. Делал себе и клиентам спокойно сайты, размещал на хостинге. Проблем особо не имел. Пару месяцев назад пришла идея сделать свой городской сайт с объявками и рекламой. Сделал, запустил на хостинге и начал немного пиарить по местынм сайтам и соц.сетях. Через несколько дней сайт заддосили так что хостер его отключил. Так продолжалось несколько раз (ддосили обычно дня по 3), пока не "предложили" перейти на VPS. Мол там бороться легче, ресурсов и возможностей больше. Правда не предупределили что теперь администрация сервера полностью моя проблема. -)) Вобщем переехал на VPS (1х2,6Ghz, RAM 512 Мб, 20 Гб HDD, 100 Мбит/с сеть). Стоит SentOS 6, Apache 2, ISPmanager. Сайт региональный, максимальное число посетителей до 1000 в день (это очень круто!), а обычно в пределах 200-300 чел. Поэтому думаю ресурсов должно хватать, даже с запасом. Несколько дней все летало пока опять не начался ддос. Сервер в итоге ушел в полный аут. Хостер открстился, что по их правилам они администрировать не могут, разбирайтесь сами. Вот тут и начался полный капец. Я полный чайник в этом и понятия не имел куда двигаться и что делать. Знакомых админов нет, денег на их содержание тоже пока нет. Так что приходиться учиться и самому разбираться. На сегодняшний день пока смог немножко изменить настройки сервера. Делал на основе советов с инета. Насколько они правильны затрудняюсь ответить. # TimeOut: The number of seconds before receives and sends time out. TimeOut**60 # KeepAlive: Whether or not to allow persistent connections (more than # one request per connection). Set to "Off" to deactivate. KeepAlive**On # MaxKeepAliveRequests: The maximum number of requests to allow # during a persistent connection. Set to 0 to allow an unlimited amount. # We recommend you leave this number high, for maximum performance. MaxKeepAliveRequests**50 # KeepAliveTimeout: Number of seconds to wait for the next request from the # same client on the same connection. KeepAliveTimeout**15 ## Server-Pool Size Regulation (MPM specific) # prefork MPM # StartServers: number of server processes to start # MinSpareServers: minimum number of server processes which are kept spare # MaxSpareServers: maximum number of server processes which are kept spare # ServerLimit: maximum value for MaxClients for the lifetime of the server # MaxClients: maximum number of server processes allowed to start # MaxRequestsPerChild: maximum number of requests a server process serves <IfModule prefork.c> *StartServers 5 *MinSpareServers 5 *MaxSpareServers 10 *ServerLimit 50 *MaxClients 50 *MaxRequestsPerChild** 3000 </IfModule> Это дало небольшие результаты, ну хоть по ssh можно зайти на сервер и иногда в ispmanager. Далее пока моих знаний хватило установить (D)DoS Deflate с запуском по крону. Вот сейчас опять похоже ддосят, но он похоже не справляется. Не совсем понял лог запросов. Вот пример из последнего. Я правильно понимаю, что это с яндекса ,гугла и контакта шуруют запросы? Но не в таком же количестве. Анализатор логово показал 2536 запросов с гугла. И запросы идут уже вторые сутки не прекращаясь! 192.210.148.89 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (iPad; U; CPU OS 4_3 like Mac OS X; en-us) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5" 190.0.6.158 - - [06/May/2013:00:00:55 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (compatible; Konqueror/4.5; Windows) KHTML/4.5.4 (like Gecko)" 116.228.55.184 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30151 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 91.203.89.142 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://vk.com/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.2; WOW64; Trident/5.0)" 89.218.0.34 - - [06/May/2013:00:00:57 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 114.80.136.171 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:5.0) Gecko/20100101 Firefox/5.0" 178.253.253.82 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" 89.218.101.138 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 89.218.0.69 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 190.25.232.102 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30151 "http://google.com/" "Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0" 189.4.97.89 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30151 "http://yandex.ru/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" 212.119.105.65 - - [06/May/2013:00:00:59 +0300] "GET /?False HTTP/1.0" 200 30239 "http://yandex.ru/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" 89.144.190.9 - - [06/May/2013:00:01:00 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 95.159.105.2 - - [06/May/2013:00:01:00 +0300] "GET /?False HTTP/1.0" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 116.228.55.217 - - [06/May/2013:00:00:59 +0300] "GET /?False HTTP/1.1" 200 30239 "http://vk.com/" "Mozilla/4.0 (Windows NT 6.1; Win64; x64; rv:4.0a1) Gecko/20110621 Firefox/7.0a1" 89.218.0.162 - - [06/May/2013:00:01:08 +0300] "GET http://vnikopole.net/?False HTTP/1.1" 404 1942 "http://vk.com/" "Mozilla/4.8 [en] (Windows NT 5.1; U)" Вопросов много, главный что сделать, чтобы сайт заработал и как избавиться от таких атак?

T

55

tls

6 мая 2013, 20:49

#31

6666:
Народ, а? Может кто попробует написать валидную строчку для htaccess которая блокирует запросы с параметром /?False

А я готов поэксперементировать, посмотреть, что перестало работать, что и как..

RewriteEngine On
RewriteCond %{REQUEST_URI} =/
RewriteCond %{QUERY_STRING} =False
RewriteRule ^ - [R=404,L]

Это для 404, для редиректа будет немного по-другому.

F

8

freekey

6 мая 2013, 20:49

#32

Netman_avs:
Судя по графикам статистики, например вчера, атака началась в 7 утра. Нагрузка на CPU, HDD и трафик сразу подскочили местами на несколько порядков и держиться практически постоянно. Перезагрузка сервера не помагает. (D)DoS Deflate присылает отчеты что банит почти по 200 ip на 2 часа, но атака практически не спадает и сайт лежит.

Ну да, 7 утра это мертвое время. А вы можете вычислить диапазоны ваших местных провайдеров и разрешить в .htaccess только их? Или это все-равно не спасет от нагрузок?

IL

435

ivan-lev

6 мая 2013, 20:57

#33

Про Nginx и limit_req_zone ещё не писали?

Netman_avs, как-то достался VPS который использовался до меня под "чернуху" - так мне боты (которые ботнет) "докладами" apache положили.

установка Nginx фронтендом - и сервер жив :)

Тем более один проект на сервере.

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )

Нужен хостинг (ВПС, Дедик) nginx vs Apache Nginx+Apache 504 ошибка при

F

8

freekey

6 мая 2013, 20:57

#34

<Directory /docroot>

    Order Deny,Allow

    Deny from all

    Allow from 192.168.0.0/27

    Allow from 76.168.0.0/27

</Directory>

Как-то так вроде

NA

1

Netman_avs

6 мая 2013, 21:02

#35

freekey:
Ну да, 7 утра это мертвое время. А вы можете вычислить диапазоны ваших местных провайдеров и разрешить в .htaccess только их? Или это все-равно не спасет от нагрузок?

Когда я был ещё на хостинге, и попытался через .htaccess закрыть доступ со стран с которых происходила атака вот что мне ответил хостер

Мой вопрос > Раз такое дело, то я могу вместо запрета входа с других стран (было забанено 30 стран), сделаю наоборот - только доступ с Украины. Я так понимю это снимет нагрузку или нет?

Ответ: Это не изменит ситуацию, поскольку веб сервер все равно будет обрабатывать запросы с мира, на основе указанных правил в htaccess, пропуская трафик с разрешенных IP и блокируя со всех остальных, то есть будут тратится ресурсы на обработку запроса с каждого IP.

---------- Добавлено 06.05.2013 в 23:06 ----------

ivan-lev:
Про Nginx и limit_req_zone ещё не писали?

Netman_avs, как-то достался VPS который использовался до меня под "чернуху" - так мне боты (которые ботнет) "докладами" apache положили.

установка Nginx фронтендом - и сервер жив :)
Тем более один проект на сервере.

Про Nginx читал практически в каждом втором совете о борьбе с ддос. Теоретически суть его понимаю, но практически с наскока освоить не удалось. А поставить и вообще загубить сервер пока не хочется. Хотя постоянно думаю о Nginx как об правильном решении.

Интересно CloudFlare будет практически выполнять ту же роль что Nginx?

Яндекс не хочет индексировать ua-hosting.company: хостинг, VPS (KVM) Что если использовать один

IL

435

ivan-lev

6 мая 2013, 21:14

#36

Netman_avs:
Теоретически суть его понимаю, но практически с наскока освоить не удалось. А поставить и вообще загубить сервер пока не хочется. Хотя постоянно думаю о Nginx как об правильном решении.

Виртуальная машина на локалке в помощь.. Или для тестов VPS взять.. или..

На самом деле мануалов/статей в сети куча (что касается установки - лучше смотреть более-менее последние - сейчас не обязательно исходники качать - yum/apt пакеты готовые есть ) - в самом худшем случае всегда можно вернуть порт apache на 80 и убрать Nginx из автозагрузки.

Если я обновлю phpMyAdmin Где лучше держать картинки? Редирект с Https на

154

AboutSEO

6 мая 2013, 21:23

#37

ставь fail2ban и всех кто запрашивает /?False блочь.

NA

1

Netman_avs

6 мая 2013, 21:25

#38

ivan-lev:
Виртуальная машина на локалке в помощь.. Или для тестов VPS взять.. или..

На самом деле мануалов/статей в сети куча (что касается установки - лучше смотреть более-менее последние - сейчас не обязательно исходники качать - yum/apt пакеты готовые есть ) - в самом худшем случае всегда можно вернуть порт apache на 80 и убрать Nginx из автозагрузки.

Спасибо за совет!

Тогда можно отказать от CloudFlare? Или одно другому не помеха?

523

Den73

6 мая 2013, 21:28

#39

nginx вам не поможет из коробки, это не волшебный софт для защиты, его еще нужно будет как минимум сконфигурировать надлежащим образом что бы был результат, вы когда выкладываете логи атаки хотя бы берите кусок за 1 минуту а не как у вас 5 запросов и все.

учитывая информацию из 1 топика, вам достаточно сделать костыль:

iptables -I INPUT 1 -p tcp --dport 80 -m string --string "False" --algo kmp -j DROP

и не извращаться с .htaccess

Хостинг 1С Битрикс с как не задеть поисковых Про ddos

364

pupseg

7 мая 2013, 03:07

#40

Netman_avs,

316862 можно и в аську чо уж))

помог клаудфларе ?)

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).

Вышел новый Яндекс Браузер с YandexGPT и YandexART

Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ

Первый VPS, первый DDoS