Ddos форума при постинге сообщений. Вы сталкивались с подобным?

Автор iaroslav, 20 февраля 2013, 14:45:47

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

iaroslav

Наблюдал сегодня у себя на форуме весьма интересную картину. Заходит какой-то опрдеелённый пользователь, что-то хитрое делает со стандартным механизмом отправки сообщений (то есть долго и задумчиво пишет сообщение, состоящее из нескольких букв q) и сервер банально падает (то есть нгикс начинает высвечать gateway error). Потом сервер оживает, опять заходит этот товарищ, пишет такое же по содержанию сообщение и сервер падает опять.
Интерации эдак на третьей я решил данную проблему баном по ip. Решение оказалось эффективным - сервер больше не падает. Но,в то же время, решение это явно временное.
Никто с подобным не сталкивался? И есть ли какие-либо методы борьбы с такими неприятностями?
P.S. Форум версии 2.0.4 , модификаций затрагивающих систему отправки сообщений вроде нет, но на всякий случай привожу список установленных:
1.SimplePortal 2.3.5
2.SimplePortal russian translation 2.0.4
3.Optimus Brave 1.8.4
4.Fix case-sensitive verification answers 0.1
5.SMFBlog 2.0
6.Count descendant's posts 1.0.3
7.Karma Description Mod 2.7.1
8.Recount Member Posts 1.0.2
9.Memberlist Additional Alphabet 2.0
10.RedirectPage 2.6
11.WYSIWYG Quick Reply 2.3
12.Aeva ~ Auto-Embed Video & Audio 7.2
13.SMF Media Gallery 2.0.5
14.SMF 2.0.3 Update
15.SMF 2.0.4 Update
P.P.S. В логах ошибок из админки форума только свидетельства о множественных неудачных попытках того пользователя ввести пароль (так как пользователь зарегился буквально за пару минут до описываемых мной событий, да ещё и использовал почтовый домен bund.us ,скажем, попытки взлома аккаунта его явно не при чём).
Логи апача смогу посмотреть только вечером.

iaroslav

Что характерно, после бана он всё-равно умудряется как-то класть сервер. Но на этот раз в логах остаётся просто запись о попытке входа.

Slavegirl

Попробуйте открыть форум и зажать кнопку F5 на 10-20 секунд. Если после этого apache или nginx перестанут на несколько минут отвечать на запросы, нужно читать решение проблемы "F5-ddos attack".

Только что испытала данный трюк на Вашем форуме http://atlantis-empire.com/ , после 10-секундного F5-ддоса сервер молчит примерно полминуты. Можете разбанивать пользователя, эта ддос-атака доступна каждому школьнику с одним компьютером. Если он, конечно, не пользуется другим методом ддоса...

iaroslav

Цитата: Slavegirl от 21 февраля 2013, 10:05:10
Попробуйте открыть форум и зажать кнопку F5 на 10-20 секунд. Если после этого apache или nginx перестанут на несколько минут отвечать на запросы, нужно читать решение проблемы "F5-ddos attack".

Только что испытала данный трюк на Вашем форуме http://atlantis-empire.com/ , после 10-секундного F5-ддоса сервер молчит примерно полминуты. Можете разбанивать пользователя, эта ддос-атака доступна каждому школьнику с одним компьютером. Если он, конечно, не пользуется другим методом ддоса...
Методику вашу попробовал. Рещультат понаблюдал....
На основе сделанных наблюдений могу ответить следующее.
Попробуйте таким образом положить сервер в состояние gateway error (при чём именно для всех, а не только для вас). Вот на полном серьёзе.
Всё-таки молчание сервера после "10-секундного F5-ддоса" скорее объясняется запретом на количество одновременных подключений (как только их набегает достаточно сервер лично ваши запросы обрабатывать перестаёт до тех пор, пока количество одновременно открытых соединений с вами не снизится, по таймауту, ниже выставленного в недрах конфига уровня).

Иначе бы сервер регулярно клали всевозможные боты и парсеры. Благо уж чего, чего а этого добра по интернету шастает множество и заходят, по-моему, куда угодно. Ну а их частота запроса куда как выше чем у браузера с зажатым "f5".

Slavegirl

Прошлой весной я обнаружила данную уязвимость и у себя на форуме. На данный момент она устранена моим напарником, который администрирует сервер.
Параллельно я попробовала ее проверить на своем местном городском форуме и главном биллинговом сайте своего провайдера. В итоге после 20-секундного F5 на сайте провайдера у всего города выключился интернет на 5 минут. Это также подтвердили мои друзья из другого города, которые в режиме онлайн следили за моей "атакой" на форум и провайдер.

iaroslav

Slavegirl, дык а чего вы мне доказываете? Может давайте лучше проверим?
Ну или подожду пока в онлайне появятся "друзья из другого города", или с другого ип, которые могут провести оную "атаку" длительностью, эдак, минуты на пол...

Slavegirl

Моя ICQ: 566497125
Давайте спишемся и синхронизируемся. Я буду Вас "ддосить", а Вы в это время пытаться зайти на форум. Мне тоже очень интересен результат.

iaroslav

Ничего если вечером? А то я сейчас на работе и icq тут не запустить (порты перекрыты, а к онлайн версии закрыт доступ настройками шлюза).
Ну или давайте через скайп, если есть...

iaroslav

Ага, проверили.
Действительно таким образом сервер тоже ложится. Правда не до 502, но вполне можно предположить что у товарища была та же методика, просто более эффективная. Пойду гуглить на тему эффективного ограничения подобного ддоса.