acayip bi saldırı Caps ekledim

[MegaTR]

Arkadaşlar load 1-2 lerde fakat saldırı geliyor gibi

Load düşüyor apache down oluyor apache restart ediyorum geliyor sonra tekrar load düşüyor apache tekrar down oluyor

WHM den Apache Status'e baktığımda

hep ..reading.. dolu

bu nedir ve nasıl engelleyebilirim teşekkürler

[MegaTR]

gene kapayıp açtım apache yi

0-278260/0/0R 0.001000.00.000.00 ??..reading.. 1-278270/0/0R 0.001000.00.000.00 ??..reading.. 2-278280/0/0R 0.001000.00.000.00 ??..reading.. 3-278290/0/0R 0.001000.00.000.00 ??..reading.. 4-278300/0/0R 0.001000.00.000.00 ??..reading.. 5-278310/0/0R 0.001000.00.000.00 ??..reading.. 6-278320/0/0R 0.001000.00.000.00 ??..reading.. 7-278330/0/0R 0.001000.00.000.00 ??..reading.. 8-278340/0/0R 0.001000.00.000.00 ??..reading.. 9-278350/0/0R 0.001000.00.000.00 ??..reading.. 10-278360/0/0R 0.001000.00.000.00 ??..reading.. 11-278370/0/0R 0.001000.00.000.00 ??..reading.. 12-278380/0/0R 0.001000.00.000.00 ??..reading.. 13-278390/0/0R 0.001000.00.000.00 ??..reading.. 14-278400/0/0R 0.001000.00.000.00 ??..reading.. 15-278410/0/0R 0.001000.00.000.00 ??..reading.. 16-278440/0/0R 0.00900.00.000.00 ??..reading.. 17-278450/0/0R 0.00800.00.000.00 ??..reading.. 18-278460/0/0R 0.00800.00.000.00 ??..reading.. 19-278490/0/0R 0.00700.00.000.00 ??..reading.. 20-278500/0/0R 0.00700.00.000.00 ??..reading.. 21-278510/0/0R 0.00700.00.000.00 ??..reading.. 22-278520/0/0R 0.00700.00.000.00 ??..reading.. 23-278550/0/0R 0.00600.00.000.00 ??..reading.. 24-278560/0/0R 0.00600.00.000.00 ??..reading.. 25-278570/0/0R 0.00600.00.000.00 ??..reading.. 26-278580/0/0R 0.00600.00.000.00 ??..reading.. 27-278590/0/0R 0.00600.00.000.00 ??..reading.. 28-278600/0/0R 0.00600.00.000.00 ??..reading.. 29-278610/1/1R 0.00610.00.000.00 ??..reading.. 30-278620/0/0R 0.00600.00.000.00 ??..reading.. 31-278630/0/0R 0.00500.00.000.00 ??..reading.. 32-278640/0/0R 0.00500.00.000.00 ??..reading.. 33-278650/0/0R 0.00500.00.000.00 ??..reading.. 34-278660/0/0R 0.00500.00.000.00 ??..reading.. 35-278670/0/0R 0.00500.00.000.00 ??..reading.. 36-278680/0/0R 0.00500.00.000.00 ??..reading.. 37-278690/0/0R 0.00500.00.000.00 ??..reading.. 38-278700/0/0R 0.00500.00.000.00 ??..reading.. 39-278710/2/2R 0.0044070.00.030.03 ??..reading.. 40-278720/0/0R 0.00500.00.000.00 ??..reading.. 41-278730/0/0R 0.00500.00.000.00 ??..reading.. 42-278740/0/0R 0.00500.00.000.00 ??..reading.. 43-278750/0/0R 0.00500.00.000.00 ??..reading.. 44-278760/0/0R 0.00500.00.000.00 ??..reading.. 45-278770/0/0R 0.00500.00.000.00 ??..reading.. 46-278780/0/0R 0.00500.00.000.00 ??..reading.. 47-278790/0/0R 0.00400.00.000.00 ??..reading.. 48-278800/0/0R 0.00400.00.000.00 ??..reading.. 49-278810/0/0R 0.00400.00.000.00 ??..reading.. 50-278820/0/0R 0.00400.00.000.00 ??..reading.. 51-278830/0/0R 0.00400.00.000.00 ??..reading.. 52-278840/0/0R 0.00400.00.000.00 ??..reading.. 53-278850/0/0R 0.00400.00.000.00 ??..reading.. 54-278860/0/0R 0.00400.00.000.00 ??..reading.. 55-278870/0/0R 0.00400.00.000.00 ??..reading.. 56-278880/0/0R 0.00400.00.000.00 ??..reading.. 57-278890/0/0R 0.00400.00.000.00 ??..reading..

[sinangunay]

RRRRWWWWWNNNNNN

SYN saldırısına benziyor..

[CaLViN]

bu botlardan en son t*k* de görmüştüm.

[HoST13]

bu saldırıya bir çare bulunmaz mı şimdi adam istediği gibi saldırı yapacak sonra verdiği zarar yanına kar mı kalacak?

[MegaTR]

Hocam bunun önüne bi nebzede olsa geçilmez mi ?

[sinangunay]

Elbette geçilebilir..

Güzel bir optimizasyon, httpd.conf ve kernel güçlendirmesi + saldırının büyüklüğüne görede donanımsal firewall

[MegaTR]

Donanımsal firewall belki zor fakat diğerlerini ücret karşılığında yapabilirseniz sizle görüşelim hocam

pm ile msn adresinizi yollarsanız sevinirim.

[savci]

Esasında sorun çok basit ama malesefki sadece whm yada cpaneli kullanmakla bu sorunu çözemezsin aynı zamanda yardım etmek için msnlerini verip ücret talep eden zihniyetleride kınadığımı bildirmek isterim, bilgi paylaştıkça çoğalır. biz böyle bir millet değildik bizi bu hale getirenler utansın dicem ama siyasi bi mesaj gibi olacak neyse sana yardımcı olayım öncelikle esasında baştada söylediğim gibi sorunun çok basit aşağıda yazdım.

öncelikle block.sh diye bir dosya oluştur yetkisini 777 ver içinede aşağıdaki kodları at.

#!/bin/bash
typeset -i BLOCK_THRESHOLD_COUNT
###################################### EDIT HERE ########################################
USE_IP_BLOCK=1 # 0/1 Block the IP if count goes above threshold
BLOCK_THRESHOLD_COUNT=35 # IP is blocked if connection count > this number.
# Valid only if USE_IP_BLOCK=1
SIMULATION=n # Set to 'n' to actually block the IPs (ex: SIMULATION=n)
################################################## #######################################
## Are we ready to go ?
[ $USE_IP_BLOCK -eq 1 ] && {
[ $BLOCK_THRESHOLD_COUNT -eq 0 ] && {
echo "Threshold value not set!"
exit 1
}
}
list=(`netstat -alpn | awk '($4~/:80$/) && ($4!~"0.0.0.0") { print $5 }' | cut -d: -f 1 | sort`)
echo "Number of Different IPs: ${#list[*]}"
oldip=${list[0]}
oldcount=1
echo "---------------------------"
echo -e "Count\tConnecting IP"
echo "---------------------------"
for i in $(seq ${#list[*]})
do
[ "${list[$i]}" == "$oldip" ] && {
oldcount=$(($oldcount + 1))
} || {
echo -e "$oldcount\t$oldip"
[ $USE_IP_BLOCK -eq 1 -a $oldcount -ge $BLOCK_THRESHOLD_COUNT ] && {
echo "/sbin/iptables -I INPUT -p tcp --dport 80 -s $oldip -j DROP"
[ "$SIMULATION" == "n" ] && {
/sbin/iptables -I INPUT -p tcp --dport 80 -s $oldip -j DROP
}
}
oldip="${list[$i]}"
oldcount=1
}
done


crontab dan */15 * * * * /root/block.sh
bu şekilde bi cron tanımla.
MAkinanada apf firewall kur
bu otomatik olarak bağlantı yapan ipleri tespit edip 5 dk da bir bloklar.

Bu da sanırım istediğin işi görür

kolay gelsin

[MegaTR]

Kardeşim saol fakat bu ve bu gibi bash lar cok işe yaramıyor

zaten bunlar ip olmayan saldırılar juno vb türü yapılan.

yoksa .sh ye gerek yok csf nin yeni versiyonlarında süre aralıkla fazla bağlantı ve session ları banlama özelligi eklendi.

İP olmadıgı ıcn sanırsam http.conf ve diger dosyalardaki ince ayarlarla bu iş cözülebilir biraz

teşekkürler bilgilendirmen için