Attaque DOS, deny de service

[mahefarivony]

Yo,

Y a un gus qui s'amuse a me planter mon serveur en me balançant des milliers de requetes par seconde. Extrait de log

Code: Tout sélectionner

212.138.64.172 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=abcce3fca5bf1a5c19b10ce1c317a
0bd HTTP/1.0" 403 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"
66.249.72.209 - - [10/Dec/2006:06:16:53 +0100] "GET /modules.php?name=Forums&file=posting&mode=quote&p=13459&sid=427db1ecb9f6
657f8838f1aab3eb8d0e HTTP/1.1" 200 9420 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
62.150.40.142 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=48666abbe9633280d71a505d339915
84 HTTP/1.1" 403 221 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"
212.138.64.173 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=93976aa1128234c9184cda3eacdf9
428 HTTP/1.0" 403 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"

Comment le dégager ?

J'ai essayé ceci dans le .htaccess

Code: Tout sélectionner

RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F]


.. mais ca marche pas des masses

[xperienss]

Si tu ne connais pas déjà :
http://www.webrankinfo.com/forums/viewtopic_1404.htm

Xp

[mahefarivony]

merci mais ça marche pas.

Le gars change d'ip à chaque ligne

[Szarah]

S'il change d'IP à chaque ligne, c'est peut-être une attaque DDOS et tu aurais en fait un démon par ligne.
As-tu lu ceci ?
http://www.securiteinfo.com/attaques/hacking/ddos.shtml

Bon courage !

[mahefarivony]

oui il s'agit bien d'un DDOS, le total des process apache arrive a saturation en moins de 5 secondes

et .. euh ... ensuite ?

( sarge + apache 1.3)

[mahefarivony]

ok, en cherchant un peu
http://www.linuxsecurity.com/content/view/121960/171/

[Arsène]

J'ai essayé ceci dans le .htaccess

Code: Tout sélectionner

RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F]


.. mais ca marche pas des masses

Est-ce qu'il ne manquerait pas le L sur le RewriteRule ?

Code: Tout sélectionner

RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F,L]

Il me semble que ce serait encore mieux dans le httpd.conf, comme tu as l'air de maitriser ta Debian.

[mahefarivony]

ok, en cherchant un peu
http://www.linuxsecurity.com/content/view/121960/171/

au fait je précise ma pensée, en suivant ceci

Code: Tout sélectionner

Implement Sysctl protection against DDOS

    Eg:

    ----------

    bash# vi /etc/sysctl.conf

    add the below code:

    # Enable IP spoofing protection, turn on Source Address Verification

    net.ipv4.conf.all.rp_filter = 1

    # Enable TCP SYN Cookie Protection

    net.ipv4.tcp_syncookies = 1

    Add the below code in /etc/rc.local and restart network

    for f in /proc/sys/net/ipv4/conf/*/rp_filter;

    do echo 1 > done

    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    ----------

... je sais pas ce que ça fait exactement mais a plus de DDoS chez moi depuis En attendant la prochaine quoi.

[rog]

juste une petite question

passes tu les variables sessions en sid=

?

rog

[ACth]

merci mahefarivony, cela pourra sûrement servir à d'autres face à des gens peu scrupuleux..

[mahefarivony]

juste une petite question

passes tu les variables sessions en sid=

?

rog

le forum attaqué est url-rewrité mais effectivement, doit y avoir des sid qui trainent encore.

effectivement je l'ai remarqué aussi en voyant les logs : les zombies appellent toujours la meme page (posting.php) mais toujours avec un sid différent.

Tu as une idée en tête ?

[rog]

c'est clair que le scanner est nul

soit il essaie de trouver une sid valide, il y a juste 16^32 possibilités différentes

soit il essaies d'eviter un systeme de cache

rog

j'ai pondu un script de protection mais je me demande si il serait efficace contre ton agresseur