ДДоС

Автор kak2z, 13 мая 2012, 23:47:45

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

kak2z

Вот сижу сейчас под ДДоСом и думаю.. А как остальные борются с такой напастью? Может кто что посоветует? Скрипты? Хостеры предлагающие с серверами услугу антиддоса? Или еще что то?
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

digger®

Цитата: kak2z от 13 мая 2012, 23:47:45
Вот сижу сейчас под ДДоСом и думаю.. А как остальные борются с такой напастью? Может кто что посоветует? Скрипты? Хостеры предлагающие с серверами услугу антиддоса? Или еще что то?
А как вы узнали про DDoS ?

kak2z

Цитата: digger от 13 мая 2012, 23:56:08
А как вы узнали про DDoS ?
админы хостера сказали... тысячи подключений одновременно появляются..
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)


kak2z

Цитата: digger от 14 мая 2012, 00:30:46
И прям с тысяч разных IP?
да не... но десяток банишь... они с других айпишников лезут.. сейчас вроде успокоилось.. они там какой то скрипт прицепили что бы автоматом банил...
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

kak2z

#5
DDoS прекратился)) как то быстро они остановились..  Пока сайт висел, а саппорт доблестно блокировал АйПишники злоумышленников я лазил по инету.. нашел хостинги которые предлагают ддос защиту прямо в флаконе. Нашел отдельные конторы которые за 100 баксов обещают фильтровать весь трафик. Но нашел еще и такой скрипт который вроде даже хвалят
http://klavasoft.com/antiddos#files
никто с ним не работал? Может такие плюшки кто то оформит в виде мода?
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Mavn

со средними ддос атаками и csf по идее будет справляться
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

kak2z

Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

maestrosite.ru

Если задаются вопросы по вашей проблеме, значит это нужно вам!
---
Обновления форума, разрешение конфликтов, адаптация модов, исправление ошибок - ваши предложения о сотрудничестве направляйте по адресу smf@maestrosite.ru

Mavn

SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

kak2z

Спасибо большое. Сейчас саппорту хостера покажу рекомендации.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

kak2z

Цитата: Mavn от 14 мая 2012, 09:41:02
http://www.configserver.com/cp/csf.html
попросил админов поставить.. думаю скоро поставят..
они вообще я так понял сами скрипты пишут которые банят автоматом.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

kak2z

Извините за даблпостинг)) Админы сказали что csf проблематично будет работать с ISPМенеджером
В общем пока без него буду)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Mavn

у меня на соседнем впс работает больше года,(ISPmanager + csf) клиент не жалуется :))
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

kak2z

Цитата: Mavn от 14 мая 2012, 16:42:03csf
а если установить csf то атакующие IP будут автоматом блокироваться? А то они ночью ддосят - а я ночью спать хочу.. только что прошел по конторам которые обещают защитить от ДДоСа.. цены везде такие что легче не спать ночами)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

digger®

Цитата: kak2z от 15 мая 2012, 08:16:15
а если установить csf то атакующие IP будут автоматом блокироваться? А то они ночью ддосят - а я ночью спать хочу.. только что прошел по конторам которые обещают защитить от ДДоСа.. цены везде такие что легче не спать ночами)
А долбят то куда? В какую-то страницу конкретную или просто на ip?
Можно в Nginx поиграть с limit_req_zone. И если ошибку 444 вместо 403 отдавать, снижает нагрузку.

kak2z

Цитата: digger от 15 мая 2012, 08:31:24
А долбят то куда? В какую-то страницу конкретную или просто на ip?
Можно в Nginx поиграть с limit_req_zone. И если ошибку 444 вместо 403 отдавать, снижает нагрузку.
да я ж не разбираюсь куда)) вот будет новый подход - тогда спрошу у админов) пока вроде полет нормальный..
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

kak2z

Миллион извинений за даблпостинг)) но кто может сказать - смысл ддосить форум по 2 часа...  тем более ночью?  позиции в ПС не просядут... страницы не выпадут.. чего добиваются? Как вы думаете?
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

maestrosite.ru

1. тренировка своих систем
2. проверка вашего состояния
3. разведка боем, подготовка предстоящих событий
4. ошибка определения происходящего
5. кривой сканер
и тд...
Если задаются вопросы по вашей проблеме, значит это нужно вам!
---
Обновления форума, разрешение конфликтов, адаптация модов, исправление ошибок - ваши предложения о сотрудничестве направляйте по адресу smf@maestrosite.ru

kak2z

О)) снова началось)) кстати что заметил.. когда включен портал - то страницы открываются по 5-7 секунд.. как только портал отключаешь.. сразу же ДДоС становиться не так заметен...
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

kak2z

Извините что спамлю - но актуальная проблема...  в общем ддосят... когда включен СимплПортал страница может открываться очень долго или вместо страница выпадает ошибка 504.  Но как только портал отключаю скорость генерации страниц становиться приемлимой.. 0.6-0.8 секунда... неужели портал так может тупить? или может они нашли уязвимость в портале которая позволяет валить апач??
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

digger®

Цитата: kak2z от 15 мая 2012, 13:02:23
Извините что спамлю - но актуальная проблема...  в общем ддосят... когда включен СимплПортал страница может открываться очень долго или вместо страница выпадает ошибка 504.  Но как только портал отключаю скорость генерации страниц становиться приемлимой.. 0.6-0.8 секунда... неужели портал так может тупить? или может они нашли уязвимость в портале которая позволяет валить апач??
Да в этом портале один только блок с фоточками из галереи наверняка работает так - выбирает из базы все фотки, потом все сортирует в случайном порядке и отбирает 6 фоток. И так при каждом запросе страницы. И никакого кэширования.
Чатик еще...

Может там и не Досит никто. Просто 300 гостей зашло из которых десяток шустрых ботов - и полегло все...

kak2z

чатик и картинки видны только авторизированным пользователям... а у меня их онлайн обычно 20-30 человек..  для неавторизированных вообще половина всего отключается.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

GeorG

Я один раз повесил статью с множеством картинок (вложение) и ну очень длинную по содержанию (хотя она и обрезалась на 700 символах). Первая страница перестала открываться (кажется была 500 ошибка), включалась иногда только. Убрал статью, и все заработало.
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

Mavn

kak2z
дальше последует миллион предупреждений, по-моему не трудно отредактировать сообщение тем более что и времени не так много проходит да и один фиг сообщения некоторые перечитываются!
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

kak2z

Цитата: Mavn от 15 мая 2012, 21:49:14
kak2z
дальше последует миллион предупреждений, по-моему не трудно отредактировать сообщение тем более что и времени не так много проходит да и один фиг сообщения некоторые перечитываются!
:o да-да-да... знаю что нельзя.. но очень надо было апнуть... истерическая паника была)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

CedarMill

kak2z, попробуйте поставить ограничение на количество подключений к dovecot
login_processes_count = 1

Возможно у вас не ддос, а просто хостинг не выдерживает нагрузку...
I love SMF and Joomla!

Mr. Anviss

Цитата: kak2z от 14 мая 2012, 00:05:39А как вы узнали про DDoS ?
Как то пришел домой, уставший такой. Ну и решил проверить что там в базе твориться. Дай думаю почищу лог ошибок. Ну и с дуру удалил таблицу. И с чувством выполненного долга пошел лег спать. Просыпаюсь - караул. Форум работает через раз. Посмотрел top - мама моя родная. Apache больше 100 процессов запустил, обычно не более 15. Ну думаю ДДОСят. В итоге конечно разобрался что к чему. Таблицу восстановил и все заработало как прежде. Вот такой "ДДОС" получился.

kak2z

Цитата: Mr. Anviss от 16 мая 2012, 01:32:58
Как то пришел домой, уставший такой. Ну и решил проверить что там в базе твориться. Дай думаю почищу лог ошибок. Ну и с дуру удалил таблицу. И с чувством выполненного долга пошел лег спать. Просыпаюсь - караул. Форум работает через раз. Посмотрел top - мама моя родная. Apache больше 100 процессов запустил, обычно не более 15. Ну думаю ДДОСят. В итоге конечно разобрался что к чему. Таблицу восстановил и все заработало как прежде. Вот такой "ДДОС" получился.
да тут хостер сказал что с одного АйПи идет куча подключений - а таких АйПи тоже не мало.. только блокируешь АйПишник через минуту тормоза на форуме проходят.. в общем написали они скрипт который блокирует сильно активные подключения.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Mr. Anviss

А просто ограничить количество подключений никак нельзя было?
Хотя бы так (здесь ограничено двумя подкл. с одного ip)
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 2 -j REJECT

kak2z

Цитата: Mr. Anviss от 16 мая 2012, 10:18:48
А просто ограничить количество подключений никак нельзя было?
Хотя бы так (здесь ограничено двумя подкл. с одного ip)
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 2 -j REJECT
а сколько обычно один клиент создает подключений?
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Mr. Anviss

#31
Если не ошибаюсь то одно и по нему все тянет. Можете выставить не 2, а то что прописано у MaxClients

maestrosite.ru

Кстати, ещё вариант: закрывать соединение после отдачи файла. Конечно, чуток возрастёт общее время на получение страницы. Но висящих подключений не будет, ресурсы сервера будут освобождаться.
Если задаются вопросы по вашей проблеме, значит это нужно вам!
---
Обновления форума, разрешение конфликтов, адаптация модов, исправление ошибок - ваши предложения о сотрудничестве направляйте по адресу smf@maestrosite.ru

Mr. Anviss

maestrosite.ru Так проблема вроде не в том, что соединения висят открытыми. Создается много запросов на соединение. Вот я и посоветовал ограничить число соединений для одного ip.

maestrosite.ru

Здесь в наших высказываниях нет противоречия. Ограничиваем количество соединений 1) не допускаем новых 2) удаляем отработавшие.
Кстати, если это действительно боты развлекаются, то и соединения они могут со своей стороны не закрывать.
Если задаются вопросы по вашей проблеме, значит это нужно вам!
---
Обновления форума, разрешение конфликтов, адаптация модов, исправление ошибок - ваши предложения о сотрудничестве направляйте по адресу smf@maestrosite.ru

kak2z

а это никак не повлияет на быстро роботов? на индексацию? боты ПС  тоже ведь могут заходить с одного АйПи...
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Mr. Anviss

#36
Но ведь страница будет отдаваться полностью на индексацию, а если он будет долбить ее 500 раз в сек то пусть идет лесом. И разве в robots.txt нет директивы которая задает частоту сканирования?
p.s.
как написал выше создается одно подключение и по нему все тянется и страница и ее ресурсы. в протоколе http поле connection скорее всего keep-alive  это значит соединение не разрывается. maestrosite.ru не пойму какую выгоду получу если буду закрывать соединение.

elllene

kak2z, так как вы решили проблему?
Очень актуальна тема, уже 7 день доссят, вчера начали очень активно прям с несколькими ip
Форум не уходит в аут, но бьет все рекорды по нагрузке.

Хостер единственное что смог сделать - это включил для форума сервер nginx в режиме кеширования. Помогло, но форум только можно читать и все, в него невозможно зайти и писать, сразу ошибка 404 или 403. Понятно, что это не выход, но есть более разумные идеи что с этим можно сделать?

kak2z

Цитата: elllene от 11 апреля 2013, 05:16:11
kak2z, так как вы решили проблему?
Очень актуальна тема, уже 7 день доссят, вчера начали очень активно прям с несколькими ip
Форум не уходит в аут, но бьет все рекорды по нагрузке.

Хостер единственное что смог сделать - это включил для форума сервер nginx в режиме кеширования. Помогло, но форум только можно читать и все, в него невозможно зайти и писать, сразу ошибка 404 или 403. Понятно, что это не выход, но есть более разумные идеи что с этим можно сделать?
у меня тогда ВПС был - блокировал АйПи через IPTables
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

iaroslav

Цитата: elllene от 11 апреля 2013, 05:16:11
Хостер единственное что смог сделать - это включил для форума сервер nginx в режиме кеширования. Помогло, но форум только можно читать и все, в него невозможно зайти и писать, сразу ошибка 404 или 403. Понятно, что это не выход, но есть более разумные идеи что с этим можно сделать?
Может, кому пригодится...
Если разово атака идёт с нескольких ip (cиречь меньше десятка), да ещё и стоит ngix то можно банально в настройках ngix прописать лимит на количество одновременных соединений с одного ip.
Мне вот помогло - с тех как поставил проблемы исчезли. При чём возможно и по чисто психолоогической причине, ибо ошибка ngix при превышении соединений мало отличается от ошибки при падении форума. Так что хакеры (хотя, исходя из последующего, скорее кулхацкеры) сперва долго были уверены, что успешно кладут форум в разы быстрее чем раньше. А как узнали правду (а именно, что форум теперь работает нормально и ошибка выдаётся персонально им) разочаровались и исчезли в неизвестном направлении.
Собственно тема моя по этому воводу вот. А как именно ограничивать количество подключений, насколько я понял, зависит от версии ngix ибо там от версии к версии слегка изменяется синтаксис.

elllene

iaroslav, можете конкретно написать, что именно вы прописали и сделали?
мой хостер сказал, это единственное чем он может помочь уже сделано, теперь хоть смогу ему дать что-то конкретное.


elllene

и еще, не влияет ли это на пауков поисковых и какое количество соединений с одного ip у вас стоит.
хостер по асе сказал они могут такое сделать, но больше конкретики :)

iaroslav

Сказать могу, но только вечером. Сейчас я на работе и доступа к хостингу у меня нет. Ну а на память, какое из найденных в яндексе решений я применял - не помню.
Ровно как и сколько одновременных соединений ставил тоже не помню.
P.S. На ботов, судя по всему, не повлияло. Так как форум тем же яндексом (если верить яндекс вебмастеру) вполне нормально индексируется.

elllene

iaroslav, оставила уже заявку, то что вы посоветовали и снять nginx в режиме кеширования, верю в чудо.
не хочется менять хостера из-за таких проблем.

а как думаете существуют моды для этого движка, чтобы автоматом форум сам блокировал ip?
судя по статистике доссеры ушли спать 3-4 часа назад, устали видно :)

iaroslav

Моды вроде существуют, но я ими не пользовался и сказать ничего определённого не могу (.

elllene

iaroslav, спасибо, потом отпишусь помогло ли,

хочу еще мод от бурдфроса поставить на всякий пожарный
а то главный сайт постоянно бурдфросят на вп (но с вп защита без проблем, плагины отлично помогают), а за форум вот недавно взялись.
но по логам не видела, чтобы форум бурдфросили, но лучше со всех подстраховаться.

cdroller

fail2ban решение всех проблем связанных с небольшим ддосом, брутом и т.п.