Лидеры форума

Всем привет ! Хочу рассказать небольшую историю и какие выводы вынес из сложившийся ситуации: Первая часть рассказа: Итак есть у меня небольшой сайтик посвящённый безопасности, да вроде сидел никого не трогал, сайтик вроде никому и не мешает, так в качестве хобби... Да были на него небольшие атаки, но обычно справлялся DDOS Deflare, также кое-что сам периодически банил... И вот вчера свершилось, чего я так долго ждал, наконец-то оно, настоящий ддос... Я так рад, что печёнку свело ! По началу был ддос из 25-ти ботов, но даже его я несмог отразить.... Прикол, перезагружаю сервак и через пару секунд он падает и-так наверное сидел минуты три, потом начил думать... Кое-как залез через SSH и отключил сервисы апаче, кстати может кому нужны комманды: killall -9 apache2service apache2 stop killall -9 apache2 - Обязательно, ибо процессы апача, как оказалось в моём случае отжирают как память, так и проц. Ну хорошо, нагрузка спала до нуля, ога подумал я значит атака на апач... К тому-же я через netstat проверил все коннекты и оказалось, что кто-то долбит постоянно пустыми запросами... Тут я уже начил настраивать апач, уязвимости оказались в настройках: 1)Ну во первых максимальное число коннектов у меня было 450, для моего сервера это смертоубийство; 2)Таймаут пять минут, тоже много; 3)Сам сервис почему-то не перезапускался.... Всё это головотяпство в этоге сыграла дурную службу, в этоге что я сделал: StartServers 1MinSpareServers 2MaxSpareServers 5ServerLimit 150MaxClients 150MaxRequestsPerChild 400 А также: KeepAlive OnKeepAliveTimeout 30 Плюс использовал DdosDeflare... Что получил в этоге, сервисы апаче уже так не напрягают сервер и боты потихонечку забанил DdosDeflare + вручную отсеял... Вторая часть рассказа: Итак я с читой совестью и целыми зубамими, начил троллить этого мудака хакера... И вот свершилось, теперь уже серьёзный ддос 1000 Мбит, около 5000 ботов... Вот тут-то я напрягся, что получилось: 1)Разумеется доступ к SSH и прочее заблокировался, у моего провайдера есть опция "Перезагрузить сервер", а что толку-то ? Секунда-две и сервак в дауне... 2)В этоге мой провайдер заблокировал VPS ! Долго думал я как-же этого избежать в будущем и один добрый человек подсказал: Самое первое что нужно сделать это, сделать так что-бы при возрастании загрузки выше, некоторого критического уровня, блокировать файрволом атакуемый сервис, т.е. например если нагрузка у сервера максимальна, нужно блокировать все порты, кроме 22 (Порт SSH), и таким образом даже если атакуемый сервис окажется уязвим к атаке, сам сервер будет "Жить" и к нему будет доступ... Как это сделать вот статья на хабре:http://habrahabr.ru/post/128526/ Третья часть рассказа: В разработке, пока жду как разблокируют мой VPS наконец, о своей борьбе с этим ддосом, расскажу позже... Если меня ненакроет лавина страшных ботов, гы-гы-гы ! З.Ы. Если я не вернусь, звоните призеденту...

Хе на меня сейчас идёт атака 1Гбит, чисто ради эксперемета попробую фришными средствами отразить, решил сделать связку:Nginx+GeoIP+Fail2ban+cloudflare Free... По началу хотел без Cloudflare, чисто средствами своего сервера, не нравится мне Cloudflare, ибо провайдеры некоторые банят его айпи, но недооценил силу хакера который производит атаку, в этоге сейчас мой VPS забанили, жду пока разблокируют, достаточно-то было просто заблокировать 80-й порт им... З.Ы. А прикольно, такая атака ложит сервер за пару секунд !

Вычислил зловреда сам. Им оказалось вот это: https://play.google.com/store/apps/details?id=com.azaze.doodleart Самое интересное, там в ветке отзывов каждый третий отзыв - это вирус. Я думал, маркет как-то на это реагирует. Везде ведь пишут - устанавливайте только из маркета. А оно вон оно как(( Еще проверил перед этим телефон авастом, каспером и комодой - никто вирус не нашел. Между тем это явный вирус - загружается само, рекламу показывает во всех приложениях на весь экран и т.д.