EOMY.NET
Хостинг EOMY.NET: Форум поддержки
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
RSS Feed  

DDOS и VDS
На страницу 1, 2, 3, 4  След.
 
Начать новую тему   Ответить на тему    Список форумов EOMY.NET -> Свободное общение
DDOS и VDS
Автор Сообщение
Алзим
Владелец сайта на хостинге EOMY
Красные глаза


Зарегистрирован: 17.10.2010
Сообщения: 2069
Откуда: Интернет
11629 Монеты

СообщениеДобавлено: Вс, 10 Мар, 2013 22:25    Заголовок сообщения: DDOS и VDS Ответить с цитатой

Есть знакомый (не на Еоми) у которого постоянно ДДОСят ВДС. Естественно, провайдер может его и вышвырнуть. Он пока свои виртуальный сервер отключил.
Бьют не просто по одному порту, а сканируют всё и по всем открытым (ДДОСер спец в своей работе). Есть ли хоть какой-то совет, как хотя бы немного защититься, чтобы ему не терять ВДС? Сразу предупрежу, бьют сильно)), примерно с 10 тысяч компов одновременно.
_________________
Новая доходная и с быстрым выкупом биржа ссылок! Руби каппусту!
Дешёвый хостинг сайтов.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Алзим
Владелец сайта на хостинге EOMY
Красные глаза


Зарегистрирован: 17.10.2010
Сообщения: 2069
Откуда: Интернет
11629 Монеты

СообщениеДобавлено: Вс, 10 Мар, 2013 23:19    Заголовок сообщения: Ответить с цитатой

И второй вопрос. На ВДС от Еоми у меня стоят сайты на движке WordPress. Постоянно наблюдаю в логах как пытаются подобрать пароли через файл wp-login.php Конечно, есть радикальное решение. Запретить к этому файлу доступ всем. А самому подключаться через ФТП - зашёл в ФТП, поставил себе разрешение к этому файлу, после выхода опять его заблокировал. Есть и плагины у ВП, которые блокируют подбор паролей, но они не решают главной проблемы - взломщик видит ответ сервера 200. Конечно, они блокируются, но биться к этому файлу продолжают.
А что самое интересно, у меня есть блог на ВП на бесплатном хостинге Еоми. Так, туда никто не ломиться)) Интересно, как eomysupport блокирует такие запросы?))
Ведь, ответ на этот вопрос интересен не только мне. Они бьются к файлу, чтобы подобрать пароль очень часто и это равносильно мини-DDOS. Это сказывается на всех, кто со мной на одном сервере находиться.
_________________
Новая доходная и с быстрым выкупом биржа ссылок! Руби каппусту!
Дешёвый хостинг сайтов.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120350 Монеты

СообщениеДобавлено: Пн, 11 Мар, 2013 05:34    Заголовок сообщения: Ответить с цитатой

Если ддосер спец, то вышвыривает не провайдер, а ДЦ.
Но и стоит такое от 1000$ в час.
Без указания типа атаки и утилизируемого канала никто ничего не скажет.
Иногда на 10к компов хватает пары правил nginx.
Иногда
чего-то типа
netstat -ntu | awk '{print ...}' ....

Иногда вы вообще не сервер зайти не можете, т.е шквал такой, что крон не отрабатывает.
Не в количестве компов дело.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Алзим
Владелец сайта на хостинге EOMY
Красные глаза


Зарегистрирован: 17.10.2010
Сообщения: 2069
Откуда: Интернет
11629 Монеты

СообщениеДобавлено: Пн, 11 Мар, 2013 10:23    Заголовок сообщения: Ответить с цитатой

lazutov писал(а):
Но и стоит такое от 1000$ в час.

В данной ситуации Ддосер делает это за бесплатно Smile
lazutov писал(а):
Без указания типа атаки и утилизируемого канала никто ничего не скажет.

Я плохо разбираюсь в этом, но насколько я знаю, используется специальный скрипт для хабов (p2p) Пользователь заходит на хаб и он используется как один из атакующих.
lazutov писал(а):
Иногда на 10к компов хватает пары правил nginx.

Атака идёт по всем открытым портам.
_________________
Новая доходная и с быстрым выкупом биржа ссылок! Руби каппусту!
Дешёвый хостинг сайтов.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120350 Монеты

СообщениеДобавлено: Пн, 11 Мар, 2013 11:34    Заголовок сообщения: Ответить с цитатой

Да это школоло.
Закрывается UDP
и netstat -ntu | awk '{print ...}' ....

Из плюсов. Органы их стали искать, ловит и сажать.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Алзим
Владелец сайта на хостинге EOMY
Красные глаза


Зарегистрирован: 17.10.2010
Сообщения: 2069
Откуда: Интернет
11629 Монеты

СообщениеДобавлено: Пн, 11 Мар, 2013 11:46    Заголовок сообщения: Ответить с цитатой

lazutov писал(а):
Закрывается UDP

атака производится по открытым портам не только udp но и tcp
lazutov писал(а):
Да это школоло.

Ддосер далеко не школьник, но вот в своём ли он уме или нет. Тут для меня вопрос сложный. Я бы, обладая такими возможностями, не стал бы кидаться на всех кого не лень и лишний раз палить свой ботнет. Я бы предпочёл использовать это в коммерческих целях и т.п., что будет приносить доход - если рисковать своей свободой, то рисковать за что-то серьёзное или дорогое Smile
_________________
Новая доходная и с быстрым выкупом биржа ссылок! Руби каппусту!
Дешёвый хостинг сайтов.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
KCAHDEP
Пол-пирога
Пол-пирога


Зарегистрирован: 12.05.2012
Сообщения: 87
Откуда: Каменск-Шахтинский
3021 Монеты

СообщениеДобавлено: Пн, 11 Мар, 2013 11:56    Заголовок сообщения: Ответить с цитатой

Этот "школьник" и меня ддосил из-за чего у меня и забрали 1 из вдс... Sad
_________________
Мой недоблог http://kcahdep.com/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
KCAHDEP
Пол-пирога
Пол-пирога


Зарегистрирован: 12.05.2012
Сообщения: 87
Откуда: Каменск-Шахтинский
3021 Монеты

СообщениеДобавлено: Пн, 18 Мар, 2013 05:53    Заголовок сообщения: Ответить с цитатой

Доброго времени суток, накаркал я беду на свою седую голову...
Как я рассказывал ранее у меня 2 вдс и 2 dc++ хаба с общим количеством примерно 2 тысячи пользователей. С недавних пор этот "школьник" он же Phazeus, он же Александр Карпов житель Самарской области, skype Phazeus, icq 233560855. Создатель бота для dc++ хабов Экзекутор http://phazasoft.narod.ru/ekzekutor/ поселился на моих хабах и начал вести пропаганду движения в котором он состоит "Суть времени" так же там где присутствует Его Величество, по его "Большой просьбе" было запрещено любое упоминание о курении, алкоголе. В его стиле навязывать свою точку зрения и т.д. В кругу хабоводов dc++ эта личность известная тем, что используя специальный плагин установленный в дополнение к его боту он может использовать юзеров хаба для дос атак, итог этого - ботнет в 10к зомби. Прилагаю lua скрипт используемый для атаки http://dl.dropbox.com/u/94106186/DDOS.rar но это все было небольшое отступление... Придя с ночной смены я обнаружил в почтовом ящике 2 уведомления о заблокированных вдс
ip 176.9.245.147, 176.9.245.129 с причиной ддос, расспросив операторов хаба они мне сообщили что в очередной раз этот фанатик-шизофреник начал раздавать ц.у. на лево и направо, один из операторов не выдержал и забанил его на хабе, после чего последовала
_________________
Мой недоблог http://kcahdep.com/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
KCAHDEP
Пол-пирога
Пол-пирога


Зарегистрирован: 12.05.2012
Сообщения: 87
Откуда: Каменск-Шахтинский
3021 Монеты

СообщениеДобавлено: Пн, 18 Мар, 2013 05:55    Заголовок сообщения: Ответить с цитатой

ддос атака, что предпринять в данной ситуации я не знаю, надеюсь на понимание администрации хостинга и возможном решении этой проблемы, все имеющиеся у меня данные я предоставил.
_________________
Мой недоблог http://kcahdep.com/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
KCAHDEP
Пол-пирога
Пол-пирога


Зарегистрирован: 12.05.2012
Сообщения: 87
Откуда: Каменск-Шахтинский
3021 Монеты

СообщениеДобавлено: Пн, 18 Мар, 2013 09:21    Заголовок сообщения: Ответить с цитатой

[13:18:26] <MaxFox> строчки настройки фаера из темы выше
[13:18:27] <MaxFox> ####################################
# антиспуффинг
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPTABLES -N SYN_FLOOD
$IPTABLES -A INPUT -p tcp --syn -j SYN_FLOOD
$IPTABLES -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
$IPTABLES -A SYN_FLOOD -j DROP
####################################
[13:18:45] <MaxFox> и т.д... инфы море...

Вот что посоветовали... Ребята выручайте я столько сил и нервов вложил в хаб это моя отдушина от реала, а какая то редиска лишила меня всего за 5 минут Sad
_________________
Мой недоблог http://kcahdep.com/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
KCAHDEP
Пол-пирога
Пол-пирога


Зарегистрирован: 12.05.2012
Сообщения: 87
Откуда: Каменск-Шахтинский
3021 Монеты

СообщениеДобавлено: Пн, 18 Мар, 2013 09:36    Заголовок сообщения: Ответить с цитатой

Код:
[13:18:45] <MaxFox> и т.д... инфы море...
[13:23:18] <MaxFox> ты уж если выкладываешь, то выкладывай весь код...
[13:24:04] <MaxFox> #! /bin/sh

IPTABLES="/sbin/iptables"
####################################
#В этом блоке описываем сетевые интерфейсы для удобного применения в последующих правилах
#установите в соответствии с вашими, подробнее по команде sudo ifconfig
internet="ppp0"
external="eth0"
####################################
$IPTABLES -F
$IPTABLES -X
####################################
#Для отлова пакетов можно включить логирование, для активации уберите символ # в начале строки
#$IPTABLES -A INPUT -p tcp -j LOG --log-prefix "iptables: INPUT tcp packets "
#$IPTABLES -A INPUT -p udp -j LOG --log-prefix "iptables: INPUT udp packets "
####################################

####################################
# Разрешаем доступ по интерфесу обратной петли
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
####################################

####################################
# C себя разрешаем всё
$IPTABLES -A OUTPUT  -m state --state NEW  -j ACCEPT
####################################

####################################
# Позволяем входящие и исходящие соединения, инициированные уже установленными соединениями
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
####################################

####################################
# Разрешаем прохождение DHCP запросов через iptables.
$IPTABLES -A INPUT -p udp -m udp --dport 68 --sport 67 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp --dport 67 --sport 68 -j ACCEPT
####################################

####################################
# какие_то важные пакеты
$IPTABLES -I INPUT -p ah -j ACCEPT
$IPTABLES -I INPUT -p esp -j ACCEPT
####################################


########################################################################
#                           Защита                                     #
########################################################################

####################################
# Дропаем все с ошибками
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
####################################

####################################
# порт сканнеры
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL NONE -j DROP
####################################

####################################
# Дропаем все icmp
$IPTABLES -A INPUT -p icmp -j DROP
####################################

####################################
# антиспуффинг
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPTABLES -N SYN_FLOOD
$IPTABLES -A INPUT -p tcp --syn -j SYN_FLOOD
$IPTABLES -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
$IPTABLES -A SYN_FLOOD -j DROP
####################################

####################################
# Блокируем все попытки входящих TCP-соединений не SYN-пакетами (либо ошибка, либо атака)
$IPTABLES -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
####################################

####################################
#Вводим ограничения для новых подключений по SSH (не больше 4 в минуту)
#Если пользуетесь ssh для улучшения безопасности измените дефолтный порт на отличный от 22*
####################################
$IPTABLES -A INPUT -i $external -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
####################################


######################################################
#Настройки на выбор, если надо - раскомментируйте и поправьте под себя
######################################################
# Вводим ограничения для новых подключений по WWW (не больше 50 соедининий с одного ip)"
#$IPTABLES -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP
####################################

####################################
# Вводим ограничения для новых подключений по WWW (не более 5 в секунду)
#$IPTABLES -A INPUT -p tcp --dport 80 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m limit --limit 5/sec --limit-burst 5 -j ACCEPT
####################################

####################################
# Вводим ограничения для новых подключений по FTP (не больше 50 соедининий с одного ip)
#$IPTABLES -A INPUT -p tcp --dport 21 -m connlimit --connlimit-above 50 -j DROP
####################################

####################################
# Вводим ограничения для новых подключений по FTP (не больше 5 в секунду)
#$IPTABLES -A INPUT -m conntrack --ctstate NEW -p tcp --dport 21 -m hashlimit --hashlimit-upto 5/sec --hashlimit-mode srcip --hashlimit-name ftphash -j ACCEPT
####################################

####################################
# Настройки для Хаба
# дропаем, если с ip новых соединений больше чем 10
#$IPTABLES -A INPUT -p tcp -m multiport --dports 411,4111 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A INPUT -p tcp -m multiport --dports 411,4111 -m conntrack --ctstate NEW -m limit --limit 10/min --limit-burst 10 -j ACCEPT
# дропаем если с ip коннектов больше чем 20
#$IPTABLES -A INPUT -p tcp -m multiport --dports 411,4111 -m connlimit --connlimit-above 20 -j REJECT
#$IPTABLES -A INPUT -p udp -m multiport --dports 411,4111 -m connlimit --connlimit-above 20 -j REJECT


###############################################################
#~ #таблица черного списка для dc++| замените путь к файлу на корректный в вашей системе
# В нем в каждой новой будем указывать черные ip-адреса, например:
#1.1.1.1
#2.2.2.2
#3.3.3.3
#в файле допускаются комментарии
###############################################################
####################################
#BLOCKDB="/home/ftp/www/nemesis/iptables/ip.blocked"
#IPS=$(grep -Ev "^#" $BLOCKDB)
#for i in $IPS
#do
    # $IPTABLES -A INPUT -p tcp -i $external -s $i -m multiport --dports 411,4111 -j DROP
    # $IPTABLES -A INPUT -p udp -i $external -s $i -m multiport --dports 411,4111 -j DROP
#done

#вечный бан по ip для  всех соединений к серверу
#баним особо наглых
#BLOCKDB="/home/ftp/www/nemesis/iptables/ip-all.blocked"
#IPS=$(grep -Ev "^#" $BLOCKDB)
#for i in $IPS
#do
        #~ $IPTABLES -A INPUT -p tcp -i $external -s $i -j DROP
        #~ $IPTABLES -A INPUT -p udp -i $external -s $i -j DROP
#~ done
####################################


####################################
#дропаем запрос имен netbios
$IPTABLES -A INPUT -p udp ! -i $internet --dport 137:138 -j DROP
####################################

####################################
#дропаем мультикаст
$IPTABLES -A INPUT -d 224.0.0.1/32 -j DROP
$IPTABLES -A OUTPUT -d 224.0.0.1/32 -j DROP
$IPTABLES -A FORWARD -d 224.0.0.1/32 -j DROP
####################################

########################################################################
#                       ОБЩЕЕ ДЛЯ ВСЕХ                                 #
########################################################################
#Разрешаем доступ к ftp
# FTP
$IPTABLES -A INPUT -m conntrack --ctstate NEW -p tcp --sport 1024:65535 --dport 20:21 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1024:65535 --dport 49000:49500 -j ACCEPT
####################################

####################################
#Разрешаем доступ к веб-серверу
# WWW
$IPTABLES -A INPUT -p tcp -m tcp -m multiport --dports 80,443 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -m multiport --sports 80,443 -j ACCEPT
####################################

####################################
# Доступ к Хаб-серверу
$IPTABLES -A INPUT -p tcp -m tcp -m multiport --dports 411,4111 -j ACCEPT
$IPTABLES -A INPUT -p udp -m udp -m multiport --dports 411,4111 -j ACCEPT
####################################


########################################################################
#                           ВНЕШКА                                     #
########################################################################

####################################
# Доступ к DNS-серверам
$IPTABLES -A OUTPUT -p tcp -m tcp -o $internet --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp -o $internet --dport 53 -j ACCEPT
####################################

####################################
#Добавляем правила по умолчанию
$IPTABLES -A INPUT -i $internet -j DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
####################################

вот что еще пишут
неужели нельзя как то с этим бороться программными методами...
_________________
Мой недоблог http://kcahdep.com/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Алзим
Владелец сайта на хостинге EOMY
Красные глаза


Зарегистрирован: 17.10.2010
Сообщения: 2069
Откуда: Интернет
11629 Монеты

СообщениеДобавлено: Пн, 18 Мар, 2013 09:37    Заголовок сообщения: Ответить с цитатой

Если так много инфы, то почему бы не напомнить ему об уголовной ответственности?
_________________
Новая доходная и с быстрым выкупом биржа ссылок! Руби каппусту!
Дешёвый хостинг сайтов.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
KCAHDEP
Пол-пирога
Пол-пирога


Зарегистрирован: 12.05.2012
Сообщения: 87
Откуда: Каменск-Шахтинский
3021 Монеты

СообщениеДобавлено: Пн, 18 Мар, 2013 09:49    Заголовок сообщения: Ответить с цитатой

Он голова ботнета, ты что будешь писать абузы всем провам участвовавшим в атаке?
_________________
Мой недоблог http://kcahdep.com/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Алзим
Владелец сайта на хостинге EOMY
Красные глаза


Зарегистрирован: 17.10.2010
Сообщения: 2069
Откуда: Интернет
11629 Монеты

СообщениеДобавлено: Пн, 18 Мар, 2013 09:52    Заголовок сообщения: Ответить с цитатой

Зачем всем? В каждом договоре с провами есть условие, что инет нельзя использовать для ддоса, спама и т.д. Хватит и одного его прова.
Но, как выше писал Лазутов, полицая ищет таких и "банит" лишением свободы, а потом на зоне таких ддосеров матёрые уголовники "ддосят" в рот и в анал Smile
_________________
Новая доходная и с быстрым выкупом биржа ссылок! Руби каппусту!
Дешёвый хостинг сайтов.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120350 Монеты

СообщениеДобавлено: Пн, 18 Мар, 2013 13:03    Заголовок сообщения: Ответить с цитатой

Проблема в том, что кончается лимит на несущей машине.
На VE можно дропать хоть всё вообще, всё равно соседние vds оказываются неработоспособны.
Так с ботнетами почти всегда...
В целом приведенный кусок правил вполне здравый (я не вчитывался), лимиты только вызывают вопросы, так как дела с DС я не имел.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов EOMY.NET -> Свободное общение Часовой пояс: GMT
На страницу 1, 2, 3, 4  След.
Страница 1 из 4

 


Rambler's Top100   Рейтинг@Mail.ru    



Powered by phpBB © 2001, 2005 phpBB Group