Re: atak na serwer www - apache 1.3.x
Witaj Paweł,
W Twoim liście datowanym 8 lutego 2006 (12:09:06) można przeczytać:
> On Wed, Feb 08, 2006 at 11:09:47AM +0100, bieniu gras wrote:
>> Witaj lista!
> Hej!
>> ktos w 3 wormach internetowych umiescil w kodzie moja domene
>> www.wena.net do ktorej lacza sie zarazone komputery i proboja pobierac:
> Ale ktos mial wene... Przyjmij moje wyrazy wspolczucia ;)
>> oczywiscie rezultat jest taki ze tysiace komputerkow zarazonych chce
>> te pliki a moj serwer www odpowiada bledem 404
> A moze zamiast serwowac komunikat bledu 40x moglbys udostepniac te
> wlasnie pliki o zerowej dlugosci? ;) Na pewno zmniejszyloby to ruch
> w sieci.
dawalem pliki 0 bajtow ale tu nie chodzi o ddos na lacze - wysysa to
bardzo malo lacza, problem lezy w tym ze apache sie nie wyrabia :)))
za duzo tego idzie milion hitow dziennie :P normalnie jakbym mial
jakis portal
> O ile wiem, w linijce z ErrorDocument zamiast adresu mozesz tez uzyc
> jakiegos napisu, np. "Pocaluj mnie w nos!" ;) Bedzie mial wprawdzie
> wiecej niz 0 bajtow, ale lepsze to niz komunikat bledu 40x.
tak juz myslalem nawet o podaniu jakiegos exploita na windowsa pod
plikami ktore pobiera ... :D
> Jesli do Twojego Apache'a w ogole nie maja dochodzic zapytania
> o te pliki, a to wydaje sie byc najlepszym rozwiazaniem, to trzeba
> je wycinac gdzies "wczesniej", byc moze na firewallu. Niestety az
> taki biegly w iptables to ja nie jestem.
tez w iptablesach nie smigam poprostu proboje wykorzystywac regulki
ktore kraza gdzies wsrod ludzi
> A dziala zarowno DROP, jak i REJECT? Ja bym wybral REJECT,
> bo szybciej zakonczy polaczenie z klientem.
wstepnie probowalem z DROP i REJECT ale tym sposobem zamknalem caly
ruch do apacha mimo ze string byl na get tych plikow :) bede walczyc
> A co bedzie pod www1.wena.net?
myslalem tutaj o jakims dnsowym przkierowaniu hmmm sam nie wiem jak to
rozwiazac z dns balancing ? ze czesc zapytan na www.wena.net szlo by
na www1.wena.net ?? przynajmniej nie wiem co iles ... ktos z listy mi
podpowiadal odnosnie takiego rozwiazania
tak sobie mysle poki co domena www.wena.net idzie na 127.0.0.1 i
ciekawy jestem jak za 2 tygodnie ja wlacze czy bedzie to nadal sie
dzialo
ale za wszelkie pomysly bede wdizeczny
--
Pozdrowienia,
bieniu gras
Reply to: