Attaque DOS, deny de service

Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics


mahefarivony
WRInaute accro
WRInaute accro
 
Messages: 11405
Inscription: 14 Oct 2002

Attaque DOS, deny de service

Message le Dim Déc 10, 2006 6:37

Yo,

Y a un gus qui s'amuse a me planter mon serveur en me balançant des milliers de requetes par seconde. Extrait de log

Code: Tout sélectionner
212.138.64.172 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=abcce3fca5bf1a5c19b10ce1c317a
0bd HTTP/1.0" 403 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"
66.249.72.209 - - [10/Dec/2006:06:16:53 +0100] "GET /modules.php?name=Forums&file=posting&mode=quote&p=13459&sid=427db1ecb9f6
657f8838f1aab3eb8d0e HTTP/1.1" 200 9420 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
62.150.40.142 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=48666abbe9633280d71a505d339915
84 HTTP/1.1" 403 221 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"
212.138.64.173 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=93976aa1128234c9184cda3eacdf9
428 HTTP/1.0" 403 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"


Comment le dégager ?

J'ai essayé ceci dans le .htaccess
Code: Tout sélectionner
RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F]


.. mais ca marche pas des masses

suppr_18032010
 

Message le Dim Déc 10, 2006 9:10



mahefarivony
WRInaute accro
WRInaute accro
 
Messages: 11405
Inscription: 14 Oct 2002

Message le Lun Déc 11, 2006 7:53

merci mais ça marche pas.

Le gars change d'ip à chaque ligne


Szarah
WRInaute accro
WRInaute accro
 
Messages: 8093
Inscription: 22 Fév 2006

Message le Lun Déc 11, 2006 8:31

S'il change d'IP à chaque ligne, c'est peut-être une attaque DDOS et tu aurais en fait un démon par ligne.
As-tu lu ceci ?
http://www.securiteinfo.com/attaques/hacking/ddos.shtml

Bon courage !


mahefarivony
WRInaute accro
WRInaute accro
 
Messages: 11405
Inscription: 14 Oct 2002

Message le Lun Déc 11, 2006 8:56

oui il s'agit bien d'un DDOS, le total des process apache arrive a saturation en moins de 5 secondes

et .. euh ... ensuite ? :-)

( sarge + apache 1.3)


mahefarivony
WRInaute accro
WRInaute accro
 
Messages: 11405
Inscription: 14 Oct 2002

Message le Lun Déc 11, 2006 10:36


Arsène
WRInaute discret
WRInaute discret
 
Messages: 83
Inscription: 7 Mar 2006

Re: Attaque DOS, deny de service

Message le Lun Déc 11, 2006 10:38

mahefarivony a écrit:J'ai essayé ceci dans le .htaccess
Code: Tout sélectionner
RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F]


.. mais ca marche pas des masses

Est-ce qu'il ne manquerait pas le L sur le RewriteRule ?
Code: Tout sélectionner
RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F,L]


Il me semble que ce serait encore mieux dans le httpd.conf, comme tu as l'air de maitriser ta Debian.


mahefarivony
WRInaute accro
WRInaute accro
 
Messages: 11405
Inscription: 14 Oct 2002

Message le Lun Déc 11, 2006 14:13

mahefarivony a écrit:ok, en cherchant un peu
http://www.linuxsecurity.com/content/view/121960/171/


au fait je précise ma pensée, en suivant ceci
Code: Tout sélectionner
Implement Sysctl protection against DDOS

    Eg:

    ----------

    bash# vi /etc/sysctl.conf

    add the below code:

    # Enable IP spoofing protection, turn on Source Address Verification

    net.ipv4.conf.all.rp_filter = 1

    # Enable TCP SYN Cookie Protection

    net.ipv4.tcp_syncookies = 1

    Add the below code in /etc/rc.local and restart network

    for f in /proc/sys/net/ipv4/conf/*/rp_filter;

    do echo 1 > done

    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    ----------


... je sais pas ce que ça fait exactement mais a plus de DDoS chez moi depuis :mrgreen: En attendant la prochaine quoi.


rog
WRInaute passionné
WRInaute passionné
 
Messages: 1662
Inscription: 21 Sep 2006

Message le Lun Déc 11, 2006 16:20

juste une petite question

passes tu les variables sessions en sid=

?

rog

ACth
WRInaute impliqué
WRInaute impliqué
 
Messages: 795
Inscription: 11 Nov 2006

Message le Lun Déc 11, 2006 18:51

merci mahefarivony, cela pourra sûrement servir à d'autres face à des gens peu scrupuleux..


mahefarivony
WRInaute accro
WRInaute accro
 
Messages: 11405
Inscription: 14 Oct 2002

Message le Mar Déc 12, 2006 8:06

rog a écrit:juste une petite question

passes tu les variables sessions en sid=

?

rog


le forum attaqué est url-rewrité mais effectivement, doit y avoir des sid qui trainent encore.

effectivement je l'ai remarqué aussi en voyant les logs : les zombies appellent toujours la meme page (posting.php) mais toujours avec un sid différent.

Tu as une idée en tête ?


rog
WRInaute passionné
WRInaute passionné
 
Messages: 1662
Inscription: 21 Sep 2006

Message le Mar Déc 12, 2006 13:56

c'est clair que le scanner est nul

soit il essaie de trouver une sid valide, il y a juste 16^32 possibilités différentes

soit il essaies d'eviter un systeme de cache

rog

j'ai pondu un script de protection mais je me demande si il serait efficace contre ton agresseur


Si vous avez aimé cette discussion, partagez-la sur vos réseaux sociaux préférés :

Formation recommandée sur ce thème :

Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.

Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.

Lectures recommandées sur ce thème :



Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités