WHM 2086 » Soru ve Cevaplar

**MegaTR** · #1 (**permalink**) 16.03.08, 08:57 PM

Arkadaşlar load 1-2 lerde fakat saldırı geliyor gibi

Load düşüyor apache down oluyor apache restart ediyorum geliyor sonra tekrar load düşüyor apache tekrar down oluyor

WHM den Apache Status'e baktığımda

hep ..reading.. dolu

bu nedir ve nasıl engelleyebilirim teşekkürler

**MegaTR** · #2 (**permalink**) 16.03.08, 09:08 PM

gene kapayıp açtım apache yi

0-278260/0/0R 0.001000.00.000.00 ??..reading.. 1-278270/0/0R 0.001000.00.000.00 ??..reading.. 2-278280/0/0R 0.001000.00.000.00 ??..reading.. 3-278290/0/0R 0.001000.00.000.00 ??..reading.. 4-278300/0/0R 0.001000.00.000.00 ??..reading.. 5-278310/0/0R 0.001000.00.000.00 ??..reading.. 6-278320/0/0R 0.001000.00.000.00 ??..reading.. 7-278330/0/0R 0.001000.00.000.00 ??..reading.. 8-278340/0/0R 0.001000.00.000.00 ??..reading.. 9-278350/0/0R 0.001000.00.000.00 ??..reading.. 10-278360/0/0R 0.001000.00.000.00 ??..reading.. 11-278370/0/0R 0.001000.00.000.00 ??..reading.. 12-278380/0/0R 0.001000.00.000.00 ??..reading.. 13-278390/0/0R 0.001000.00.000.00 ??..reading.. 14-278400/0/0R 0.001000.00.000.00 ??..reading.. 15-278410/0/0R 0.001000.00.000.00 ??..reading.. 16-278440/0/0R 0.00900.00.000.00 ??..reading.. 17-278450/0/0R 0.00800.00.000.00 ??..reading.. 18-278460/0/0R 0.00800.00.000.00 ??..reading.. 19-278490/0/0R 0.00700.00.000.00 ??..reading.. 20-278500/0/0R 0.00700.00.000.00 ??..reading.. 21-278510/0/0R 0.00700.00.000.00 ??..reading.. 22-278520/0/0R 0.00700.00.000.00 ??..reading.. 23-278550/0/0R 0.00600.00.000.00 ??..reading.. 24-278560/0/0R 0.00600.00.000.00 ??..reading.. 25-278570/0/0R 0.00600.00.000.00 ??..reading.. 26-278580/0/0R 0.00600.00.000.00 ??..reading.. 27-278590/0/0R 0.00600.00.000.00 ??..reading.. 28-278600/0/0R 0.00600.00.000.00 ??..reading.. 29-278610/1/1R 0.00610.00.000.00 ??..reading.. 30-278620/0/0R 0.00600.00.000.00 ??..reading.. 31-278630/0/0R 0.00500.00.000.00 ??..reading.. 32-278640/0/0R 0.00500.00.000.00 ??..reading.. 33-278650/0/0R 0.00500.00.000.00 ??..reading.. 34-278660/0/0R 0.00500.00.000.00 ??..reading.. 35-278670/0/0R 0.00500.00.000.00 ??..reading.. 36-278680/0/0R 0.00500.00.000.00 ??..reading.. 37-278690/0/0R 0.00500.00.000.00 ??..reading.. 38-278700/0/0R 0.00500.00.000.00 ??..reading.. 39-278710/2/2R 0.0044070.00.030.03 ??..reading.. 40-278720/0/0R 0.00500.00.000.00 ??..reading.. 41-278730/0/0R 0.00500.00.000.00 ??..reading.. 42-278740/0/0R 0.00500.00.000.00 ??..reading.. 43-278750/0/0R 0.00500.00.000.00 ??..reading.. 44-278760/0/0R 0.00500.00.000.00 ??..reading.. 45-278770/0/0R 0.00500.00.000.00 ??..reading.. 46-278780/0/0R 0.00500.00.000.00 ??..reading.. 47-278790/0/0R 0.00400.00.000.00 ??..reading.. 48-278800/0/0R 0.00400.00.000.00 ??..reading.. 49-278810/0/0R 0.00400.00.000.00 ??..reading.. 50-278820/0/0R 0.00400.00.000.00 ??..reading.. 51-278830/0/0R 0.00400.00.000.00 ??..reading.. 52-278840/0/0R 0.00400.00.000.00 ??..reading.. 53-278850/0/0R 0.00400.00.000.00 ??..reading.. 54-278860/0/0R 0.00400.00.000.00 ??..reading.. 55-278870/0/0R 0.00400.00.000.00 ??..reading.. 56-278880/0/0R 0.00400.00.000.00 ??..reading.. 57-278890/0/0R 0.00400.00.000.00 ??..reading..

**sinangunay** · #3 (**permalink**) 16.03.08, 10:51 PM

RRRRWWWWWNNNNNN

SYN saldırısına benziyor..

**CaLViN** · #4 (**permalink**) 16.03.08, 11:18 PM

bu botlardan en son t*k* de görmüştüm.

**HoST13** · #5 (**permalink**) 17.03.08, 12:05 AM

bu saldırıya bir çare bulunmaz mı şimdi adam istediği gibi saldırı yapacak sonra verdiği zarar yanına kar mı kalacak?

**MegaTR** · #6 (**permalink**) 17.03.08, 07:39 AM

Hocam bunun önüne bi nebzede olsa geçilmez mi ?

**sinangunay** · #7 (**permalink**) 17.03.08, 07:42 AM

Elbette geçilebilir..

Güzel bir optimizasyon, httpd.conf ve kernel güçlendirmesi + saldırının büyüklüğüne görede donanımsal firewall

**MegaTR** · #8 (**permalink**) 17.03.08, 07:46 AM

Donanımsal firewall belki zor fakat diğerlerini ücret karşılığında yapabilirseniz sizle görüşelim hocam

pm ile msn adresinizi yollarsanız sevinirim.

**savci** · #9 (**permalink**) 03.04.08, 09:19 AM

Esasında sorun çok basit ama malesefki sadece whm yada cpaneli kullanmakla bu sorunu çözemezsin aynı zamanda yardım etmek için msnlerini verip ücret talep eden zihniyetleride kınadığımı bildirmek isterim, bilgi paylaştıkça çoğalır. biz böyle bir millet değildik bizi bu hale getirenler utansın dicem ama siyasi bi mesaj gibi olacak neyse sana yardımcı olayım öncelikle esasında baştada söylediğim gibi sorunun çok basit aşağıda yazdım.

öncelikle block.sh diye bir dosya oluştur yetkisini 777 ver içinede aşağıdaki kodları at.

#!/bin/bash
typeset -i BLOCK_THRESHOLD_COUNT
###################################### EDIT HERE ########################################
USE_IP_BLOCK=1 # 0/1 Block the IP if count goes above threshold
BLOCK_THRESHOLD_COUNT=35 # IP is blocked if connection count > this number.
# Valid only if USE_IP_BLOCK=1
SIMULATION=n # Set to 'n' to actually block the IPs (ex: SIMULATION=n)
################################################## #######################################
## Are we ready to go ?
[ $USE_IP_BLOCK -eq 1 ] && {
[ $BLOCK_THRESHOLD_COUNT -eq 0 ] && {
echo "Threshold value not set!"
exit 1
}
}
list=(`netstat -alpn | awk '($4~/:80$/) && ($4!~"0.0.0.0") { print $5 }' | cut -d: -f 1 | sort`)
echo "Number of Different IPs: ${#list[*]}"
oldip=${list[0]}
oldcount=1
echo "---------------------------"
echo -e "Count\tConnecting IP"
echo "---------------------------"
for i in $(seq ${#list[*]})
do
[ "${list[$i]}" == "$oldip" ] && {
oldcount=$(($oldcount + 1))
} || {
echo -e "$oldcount\t$oldip"
[ $USE_IP_BLOCK -eq 1 -a $oldcount -ge $BLOCK_THRESHOLD_COUNT ] && {
echo "/sbin/iptables -I INPUT -p tcp --dport 80 -s $oldip -j DROP"
[ "$SIMULATION" == "n" ] && {
/sbin/iptables -I INPUT -p tcp --dport 80 -s $oldip -j DROP
}
}
oldip="${list[$i]}"
oldcount=1
}
done

crontab dan */15 * * * * /root/block.sh
bu şekilde bi cron tanımla.
MAkinanada apf firewall kur
bu otomatik olarak bağlantı yapan ipleri tespit edip 5 dk da bir bloklar.

Bu da sanırım istediğin işi görür

kolay gelsin

**MegaTR** · #10 (**permalink**) 03.04.08, 09:29 AM

Kardeşim saol fakat bu ve bu gibi bash lar cok işe yaramıyor

zaten bunlar ip olmayan saldırılar juno vb türü yapılan.

yoksa .sh ye gerek yok csf nin yeni versiyonlarında süre aralıkla fazla bağlantı ve session ları banlama özelligi eklendi.

İP olmadıgı ıcn sanırsam http.conf ve diger dosyalardaki ince ayarlarla bu iş cözülebilir biraz

teşekkürler bilgilendirmen için

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç

Benzer Konular
Konu	Konuyu Başlatan	Forum	Cevaplar	Son Mesaj
saldırı mı alıyorum?	haritSu	Site, Server Genel	2	12.03.08 10:52 AM
Acaba Saldırı Mı Var?	lowriderx	Soru ve Cevaplar	2	28.02.08 01:16 AM
Mail Saldırısı ( Caps )	MegaTR	Güvenlik	0	28.01.08 04:36 PM
Debian & Ubuntu , Bind , Harici Caps Kurulumu	waffen	Diğer Kontrol Panelleri	0	14.01.08 07:43 PM
Saldırı mı Alıyorum?	MBrain	Soru ve Cevaplar	1	13.08.07 10:36 AM

WHM 2086 » Soru ve Cevaplar

acayip bi saldırı Caps ekledim

WHM cPanel Destek Platformu

acayip bi saldırı Caps ekledim