Попробуйте написать валидную строчку для htaccess, которая блокирует запросы с параметром False - Администрирование серверов

Первый VPS, первый DDoS

Netman_avs · 2013-05-06T13:49:38.0000000Z

Всем привет! Преамбула такова. Делал себе и клиентам спокойно сайты, размещал на хостинге. Проблем особо не имел. Пару месяцев назад пришла идея сделать свой городской сайт с объявками и рекламой. Сделал, запустил на хостинге и начал немного пиарить по местынм сайтам и соц.сетях. Через несколько дней сайт заддосили так что хостер его отключил. Так продолжалось несколько раз (ддосили обычно дня по 3), пока не "предложили" перейти на VPS. Мол там бороться легче, ресурсов и возможностей больше. Правда не предупределили что теперь администрация сервера полностью моя проблема. -)) Вобщем переехал на VPS (1х2,6Ghz, RAM 512 Мб, 20 Гб HDD, 100 Мбит/с сеть). Стоит SentOS 6, Apache 2, ISPmanager. Сайт региональный, максимальное число посетителей до 1000 в день (это очень круто!), а обычно в пределах 200-300 чел. Поэтому думаю ресурсов должно хватать, даже с запасом. Несколько дней все летало пока опять не начался ддос. Сервер в итоге ушел в полный аут. Хостер открстился, что по их правилам они администрировать не могут, разбирайтесь сами. Вот тут и начался полный капец. Я полный чайник в этом и понятия не имел куда двигаться и что делать. Знакомых админов нет, денег на их содержание тоже пока нет. Так что приходиться учиться и самому разбираться. На сегодняшний день пока смог немножко изменить настройки сервера. Делал на основе советов с инета. Насколько они правильны затрудняюсь ответить. # TimeOut: The number of seconds before receives and sends time out. TimeOut**60 # KeepAlive: Whether or not to allow persistent connections (more than # one request per connection). Set to "Off" to deactivate. KeepAlive**On # MaxKeepAliveRequests: The maximum number of requests to allow # during a persistent connection. Set to 0 to allow an unlimited amount. # We recommend you leave this number high, for maximum performance. MaxKeepAliveRequests**50 # KeepAliveTimeout: Number of seconds to wait for the next request from the # same client on the same connection. KeepAliveTimeout**15 ## Server-Pool Size Regulation (MPM specific) # prefork MPM # StartServers: number of server processes to start # MinSpareServers: minimum number of server processes which are kept spare # MaxSpareServers: maximum number of server processes which are kept spare # ServerLimit: maximum value for MaxClients for the lifetime of the server # MaxClients: maximum number of server processes allowed to start # MaxRequestsPerChild: maximum number of requests a server process serves <IfModule prefork.c> *StartServers 5 *MinSpareServers 5 *MaxSpareServers 10 *ServerLimit 50 *MaxClients 50 *MaxRequestsPerChild** 3000 </IfModule> Это дало небольшие результаты, ну хоть по ssh можно зайти на сервер и иногда в ispmanager. Далее пока моих знаний хватило установить (D)DoS Deflate с запуском по крону. Вот сейчас опять похоже ддосят, но он похоже не справляется. Не совсем понял лог запросов. Вот пример из последнего. Я правильно понимаю, что это с яндекса ,гугла и контакта шуруют запросы? Но не в таком же количестве. Анализатор логово показал 2536 запросов с гугла. И запросы идут уже вторые сутки не прекращаясь! 192.210.148.89 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (iPad; U; CPU OS 4_3 like Mac OS X; en-us) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5" 190.0.6.158 - - [06/May/2013:00:00:55 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (compatible; Konqueror/4.5; Windows) KHTML/4.5.4 (like Gecko)" 116.228.55.184 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30151 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 91.203.89.142 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://vk.com/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.2; WOW64; Trident/5.0)" 89.218.0.34 - - [06/May/2013:00:00:57 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 114.80.136.171 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:5.0) Gecko/20100101 Firefox/5.0" 178.253.253.82 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" 89.218.101.138 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 89.218.0.69 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 190.25.232.102 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30151 "http://google.com/" "Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0" 189.4.97.89 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30151 "http://yandex.ru/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" 212.119.105.65 - - [06/May/2013:00:00:59 +0300] "GET /?False HTTP/1.0" 200 30239 "http://yandex.ru/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" 89.144.190.9 - - [06/May/2013:00:01:00 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 95.159.105.2 - - [06/May/2013:00:01:00 +0300] "GET /?False HTTP/1.0" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 116.228.55.217 - - [06/May/2013:00:00:59 +0300] "GET /?False HTTP/1.1" 200 30239 "http://vk.com/" "Mozilla/4.0 (Windows NT 6.1; Win64; x64; rv:4.0a1) Gecko/20110621 Firefox/7.0a1" 89.218.0.162 - - [06/May/2013:00:01:08 +0300] "GET http://vnikopole.net/?False HTTP/1.1" 404 1942 "http://vk.com/" "Mozilla/4.8 [en] (Windows NT 5.1; U)" Вопросов много, главный что сделать, чтобы сайт заработал и как избавиться от таких атак?

M

235

madoff

6 мая 2013, 18:52

#21

6666:
+1 к вопросу.....

GET /?False

Netman_avs

Это запрос, который вредит, надо определить насколько будет вредно блокировать его.

Судя по логам боты однотипные.

Iptables match модуль можно просто зарезать этот запрос думаю проблем не будет, но проблема видать в вашей виртуализации Openvz может понадобится подключать модуль.

Можно пойти путём nginx определить переменную реквест поместить в if и отсеивать запрос.

Можно пойти путём проксирования заказать прокси у всех цены разные от безумства и до нормального.

Можно поставить заглушку с редиректом index.html на index345645.php что бы боты не дёргали тяжелый контент, тут они по моему на Ip идёт что упрощает задачу.

Где-то так самые простые решения. :)

tls
Кстати, если Апач от флуда валит весь сервер, значит он настроен неправильно. MaxClients=ServerLimit=50 для 512Мб

Тут спорный вопрос , видь понятия настроить правильно при дос атаке это как ? ограничить max client ? поставим 5 и зайдут 20 человек ( ботов ) и всё прощай яндекс и другие поисковые системы..

Администратор Linux,Freebsd. построения крупных проектов.

Сервер Ддосят школьники Придумал Автоматическую защиту от Борьба с UDP досами

F

8

freekey

6 мая 2013, 19:12

#22

А почему именно ДДоС? Глянул щас на свой вдс с посещалкой 500-1000 (и почти без переходов по страницам:)) оно жрет в данный момент 450-830 метров памяти. Гугло-яндексоботы вообще не вылазят с сервера, они там всегда, не считая каких-то украинских ботов, ботов каких-то провайдеров. Мож вам просто памяти не хватает, если посетители начинают бегать по страницам?

Сам с атаками еще не сталкивался, просто предположение сделал.

Защита от серьезного ДДОС Joomla и перегруз хостинга Есть кто сидит на

364

pupseg

6 мая 2013, 19:16

#23

Netman_avs:
пришел ответ от хостера

1) технологию виртуализации (openvz, xen, kvm, vmware)
Мы используем технологию XEN
2) теоретический внешний канал на вашем впс.
Не совсем понятно о чем идет речь. Этот вопрос требует от Вас уточнения.
3) возможность быстрой и безболезненной смены айпи для вашего впс
К сожалению не возможно. На один ВПС предусмотрен один IP адрес и что бі сменить IP, нужно заказывать новую ВПС.
4) возможность добавить в бан-лист на оборудовании хостера, скажем top10 самых борзых ботов".
По отношению к ВПС этого сделать невозможно. Вы можете фильтровать таких ботов через iptables или другие системы фильтрации трафика.
5) какую то техническую информацию по вашему ддосу от вашего хостера. ну там интенсивность, статистика netflow хотя бы за 1-2 часа ддоса, в идеале файл pcap-дампа(ну это из области фантастики конечно)
Статистическая информация, которая могла бы помочь в борьбе с ДДОС была удалена вместе с Вашим хостинг акаунтом.

Подключился к CloudFlare, опять таки мнения по инету разные, но попробуем, может поможет-)) Жду пока обновяться NC

ну доступ в личку что ли пришлите. посмотрим чего там куда

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).

NA

1

Netman_avs

6 мая 2013, 19:29

#24

pupseg:
ну доступ в личку что ли пришлите. посмотрим чего там куда

Я бы с удовольствием, только наверное ослеп, все глаза сломал, а личку тут не вижу!😮

505

6666

6 мая 2013, 19:45

#25

Netman_avs:
а личку тут не вижу

от десяти сообщений.. кажется...

Каждое мое сообщение проверила и одобрила Елена Летучая. (c) Для меня очень важно все что Вы говорите! (http://surrealism.ru/123.mp3) .

NA

1

Netman_avs

6 мая 2013, 19:51

#26

6666:
от десяти сообщений.. кажется...

Тогда придется пофлудить чуток, для количества.

---------- Добавлено 06.05.2013 в 21:55 ----------

Кстати вопрос, а можно ли вычислить ддос-засранца? Может он местный, так наведал бы его с удовольствием! Глядишь и атак больше бы небыло-))

роутер vs провайдер vs Digital Caramel - помогаем Кто пользуется hetzner.de? -

M

208

masterlan

6 мая 2013, 20:09

#27

Netman_avs:
Тогда придется пофлудить чуток, для количества.

---------- Добавлено 06.05.2013 в 21:55 ----------

Кстати вопрос, а можно ли вычислить ддос-засранца? Может он местный, так наведал бы его с удовольствием! Глядишь и атак больше бы небыло-))

Если он хоть немного думал головой, заказывая атаку, то вряд ли..

Нет свободных падений с высот, Но зато есть свобода раскрыть парашют. Куплю BTC-E code за Privat24 UAH. icq: 698- 375- 092

NA

1

Netman_avs

6 мая 2013, 20:13

#28

masterlan:
Если он хоть немного думал головой, заказывая атаку, то вряд ли..

А жаль... столько хочется ему поведать-))) Хотя с другой стороны столько нового узнал - ужасть!

505

6666

6 мая 2013, 20:33

#29

madoff:
Это запрос, который вредит, надо определить насколько будет вредно блокировать его

Народ, а? Может кто попробует написать валидную строчку для htaccess которая блокирует запросы с параметром /?False

А я готов поэксперементировать, посмотреть, что перестало работать, что и как..

NA

1

Netman_avs

6 мая 2013, 20:39

#30

freekey:
А почему именно ДДоС? Глянул щас на свой вдс с посещалкой 500-1000 (и почти без переходов по страницам:)) оно жрет в данный момент 450-830 метров памяти. Гугло-яндексоботы вообще не вылазят с сервера, они там всегда, не считая каких-то украинских ботов, ботов каких-то провайдеров. Мож вам просто памяти не хватает, если посетители начинают бегать по страницам?
Сам с атаками еще не сталкивался, просто предположение сделал.

Судя по графикам статистики, например вчера, атака началась в 7 утра. Нагрузка на CPU, HDD и трафик сразу подскочили местами на несколько порядков и держиться практически постоянно. Перезагрузка сервера не помагает. (D)DoS Deflate присылает отчеты что банит почти по 200 ip на 2 часа, но атака практически не спадает и сайт лежит.

История DoS-атаки с вымогательством помогите с правилом для как определить DDOS и

В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи

Что делать, если ваша email-рассылка попала в спам

Первый VPS, первый DDoS