V2NEK, рафик нэ ограничен)) я склонен рассуждать, что организовавший атаку сугубо на GET / таких вариантов может и не знать
Видать надоело...
pupseg, да. Только GET / с разных IP типа китая кореи вьетнама и тд. и разные юзерагенты. Гуглобота и яндекс бота пропускаю по вайтлисту.---------- Добавлено 07.09.2014 в 15:51 ----------Так что с куками?)
Стрелкой показан момент запуска блокировки по отключенным кукисам.
Видно что лимит по 30 хитам был эффективен, но разница ощутима.
Черн - всего(500), син - кукисы, фиол - 30хитов
pupseg, ДоС 100% - позавчера сайт положили, вчера глюки были, сегодня логи ботов растут. Досят главную - школодос
kxk, на остальных полезных ботов, кроме гуглояндекса забил.. Бинг ahrefs и вебиндекс уже забанены ((( это те кто без кук
Romka_Kharkov, так они уже есть, но старые. Подсобите немножко.
1. Мне нужно ручками зайти в /root/.ssh/ и удалить все файлы оттуда?
2. Потом я не смогу уже зайти по ключу, а только по новому паролю?
3. Ключи сохранённые на компе окажутся больше не действительны?---------- Добавлено 05.09.2014 в 11:15 --------------
Потом с теми что на компе, из /home/user/.ssh/ тоже поудалять?
Пароль изменился. Ключи походу отдельная тема...
Так я сам хз.. Раз в год меняю, полез в google посмотреть, а там "загрузитесь через груб", "примонтируйте раздел"... Я аж испугаться успел.
Конкретно, изменить root пароль. Если оно так через `passwd` и делается, то попутный вопрос. Я всегда использую мега сложный пароль, который не использую, а хожу по ключам. Ключи сами обновятся?
Нет худа без бобра. Теперь я знаю про DDoS не только в теории)) хоть и школодос но понервничал я прилично.---------- Добавлено 04.09.2014 в 23:58 ----------Glueon, да, спасибо. Как раз fail2ban у меня покамест всю эту бяку разрулил. Слава яйцам спецы ddoser-ы попались не сильно умные, хотя это ещё не всё видимо...---------- Добавлено 05.09.2014 в 00:02 ----------У меня кстати стоял один воркер в nginx на 1024 коннекта, так он сразу и забился. Поднял до 4096 тоже самое. Поднял до 8000 пока держат...
Да, это оказался не SYN флуд, а массированный DDoS ((
Если я правильно понял, то если соединение дошло до nginx, то это уже не просто флуд
Кусочек лога после блокировки по GEO
5.18.187.95 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://1xt98rqtg6r4c1.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.418422; .NET CLR 3.5.418422; .NET CLR 3.0.418422" -42.119.195.46 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://p2uu4i.ru/" "Opera/9.80 (Windows NT 6.1; WOW64; U; Edition Russia Local; ru) Presto/2.10.289 Version/10.01" -96.38.97.83 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://0ksw82al7.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.683544; .NET CLR 3.5.683544; .NET CLR 3.0.683544" -178.148.80.169 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://m1tixvc6f3fs.com/" "Mozilla/5.0 (Windows NT 5.1; rv:13.0) Gecko/20100101 Firefox/13.0" -109.251.3.154 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://28z8haloh8.com/" "Mozilla/5.0 (Windows NT 5.1; rv:9.0) Gecko/20100101 Firefox/9.0" -193.105.7.115 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://81s2108e.net/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.844020; .NET CLR 3.5.844020; .NET CLR 3.0.844020" -201.69.47.226 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://fgs1pl.org/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.975341; .NET CLR 3.5.975341; .NET CLR 3.0.975341" -118.176.115.71 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://3t7gn6k62.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.172761; .NET CLR 3.5.172761; .NET CLR 3.0.172761" -110.54.107.36 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://ltaq289md98.ua/" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20100101 Firefox/12.0" -79.117.164.20 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://19fr20y05r.org/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.008687; .NET CLR 3.5.008687; .NET CLR 3.0.008687" -94.178.128.182 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://hpsdbl7co72.org/" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0" -95.240.102.93 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://s1mf235oh427y4.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0" -78.178.123.255 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://1t99n0kn9.org/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.501214; .NET CLR 3.5.501214; .NET CLR 3.0.501214" -189.172.12.217 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://l53rzdf9c9d.ua/" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0" -
Реферер и остальная инфа подставная. Если правильно понимаю, IP реальные и их нужно банить подсетями скриптом. Только у меня ipset не установлен в системе, только iptables. Как быть?..
