Attaque DOS, deny de service

[mahefarivony]

Yo,

Y a un gus qui s'amuse a me planter mon serveur en me balançant des milliers de requetes par seconde. Extrait de log

212.138.64.172 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=abcce3fca5bf1a5c19b10ce1c317a
0bd HTTP/1.0" 403 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"
66.249.72.209 - - [10/Dec/2006:06:16:53 +0100] "GET /modules.php?name=Forums&file=posting&mode=quote&p=13459&sid=427db1ecb9f6
657f8838f1aab3eb8d0e HTTP/1.1" 200 9420 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +https://www.google.com/bot.html)" "-"
62.150.40.142 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=48666abbe9633280d71a505d339915
84 HTTP/1.1" 403 221 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"
212.138.64.173 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=93976aa1128234c9184cda3eacdf9
428 HTTP/1.0" 403 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"

Comment le dégager ?

J'ai essayé ceci dans le .htaccess

RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F]

.. mais ca marche pas des masses

 

[Anonymous]

Si tu ne connais pas déjà :
https://www.webrankinfo.com/forum/t/script-php-anti-aspirateur.1404/

Xp

 

[mahefarivony]

merci mais ça marche pas.

Le gars change d'ip à chaque ligne

 

[Szarah]

S'il change d'IP à chaque ligne, c'est peut-être une attaque DDOS et tu aurais en fait un démon par ligne.
As-tu lu ceci ?
http://www.securiteinfo.com/attaques/hacking/ddos.shtml

Bon courage !

 

[mahefarivony]

oui il s'agit bien d'un DDOS, le total des process apache arrive a saturation en moins de 5 secondes

et .. euh ... ensuite ?

( sarge + apache 1.3)

 

[mahefarivony]

ok, en cherchant un peu
http://www.linuxsecurity.com/content/view/121960/171/

 

[Arsène]

J'ai essayé ceci dans le .htaccess

RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F]

.. mais ca marche pas des masses

Est-ce qu'il ne manquerait pas le L sur le RewriteRule ?

RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F,L]

Il me semble que ce serait encore mieux dans le httpd.conf, comme tu as l'air de maitriser ta Debian.

 

[mahefarivony]

ok, en cherchant un peu
http://www.linuxsecurity.com/content/view/121960/171/

au fait je précise ma pensée, en suivant ceci

Implement Sysctl protection against DDOS

    Eg: 

    ---------- 

    bash# vi /etc/sysctl.conf 

    add the below code: 

    # Enable IP spoofing protection, turn on Source Address Verification 

    net.ipv4.conf.all.rp_filter = 1 

    # Enable TCP SYN Cookie Protection 

    net.ipv4.tcp_syncookies = 1 

    Add the below code in /etc/rc.local and restart network 

    for f in /proc/sys/net/ipv4/conf/*/rp_filter; 

    do echo 1 > done 

    echo 1 > /proc/sys/net/ipv4/tcp_syncookies 

    ----------

... je sais pas ce que ça fait exactement mais a plus de DDoS chez moi depuis :mrgreen: En attendant la prochaine quoi.

 

[rog]

juste une petite question

passes tu les variables sessions en sid=

?

rog

 

[ACth]

merci mahefarivony, cela pourra sûrement servir à d'autres face à des gens peu scrupuleux..

 

[mahefarivony]

juste une petite question

passes tu les variables sessions en sid=

?

rog

le forum attaqué est url-rewrité mais effectivement, doit y avoir des sid qui trainent encore.

effectivement je l'ai remarqué aussi en voyant les logs : les zombies appellent toujours la meme page (posting.php) mais toujours avec un sid différent.

Tu as une idée en tête ?

 

[rog]

c'est clair que le scanner est nul

soit il essaie de trouver une sid valide, il y a juste 16^32 possibilités différentes

soit il essaies d'eviter un systeme de cache

rog

j'ai pondu un script de protection mais je me demande si il serait efficace contre ton agresseur