utoky ze serveru

Zdravim vas pani,

cez jeden virtual host mi cca jednou denne jedu utoky z meho servera nekam. absolutne nic podozrive nemuzu najit v logoch, apache je uplne klasicky nastaveny (ispconfig). Projevi se to tak, ze neskutecne stoupne prenos (z 3Mbps tak na 800Mbps) a hotovo. zvali mi to linku, 10min vali ten utok a potom sa to zas vrati do normalu.

Nemate s timto zkusenosti, resp nevite jak sa branit?

Moc dekuju za rady!

Odpovědi

Limit rate na output do firewallu a zablokovat tcp 25 ven. Jinak to podle popisu to muze byt nejaky spamovaci,ddos bot.. takze pokud to potrebujes rychle resit, reinstall. Jinak jsem zvedavy co z toho vyleze..

22.2.2011 18:10 fife | skóre: 1
Rozbalit Rozbalit vše Re: utoky ze serveru

jo to bude nejaky ddos, uz mi i ISP hlasil ze z dane IP jdou utoky. ten limit rate jde nastavit i cez klasicke iptables, nebo na to treba neco special? neni mozne poskytnout malu ukazku? temuto jsem se fakt nikdy nevenoval.. port 25 mam blokovan. resp nemam ho povolen.

dekuju!!!

22.2.2011 19:57 NN
Rozbalit Rozbalit vše Re: utoky ze serveru

Asi tak nejak:

iptables -A OUTPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP

Vice info v manualu, je potreba to implementovat opatrne..

Nieco podobne som riesil cca. pred mesiacom...

Jeden z webov mal kompromitovany ftp pristup, prostrednictvom ktoreho utocnik vlozil php kod, ktory nasledne spustal ako php stranku s parametrom IPcky, na ktoru bolo treba utocit:

log.php?ip=98.212.131.20&time=41&port=3074&floodtype=udp

Islo o UDP flooding spustany php kodom. Kompromitovany web, resp. vlozeny php kod som identifikoval pouzitim iftop a wireshark/tshark (pripadne z logov apache).

Prostrednictvom iftop som hned po utoku zistil IP, na ktoru bol cieleny utok a cez tshark, resp. logy httpd konkretny php kod aj IPcku zadavatela utoku.

Dotaz: utoky ze serveru

Odpovědi