Formation par Olivier Duffez

Formation au référencement par Olivier Duffez, créateur de WebRankInfo !
Une formule efficace alliant théorie et pratique, avec une haute disponibilité des intervenants
Cette formule a déjà convaincu plusieurs centaines d'entreprises, pourquoi pas vous ?
Réservez vite votre place en ligne (convention possible pour imputer sur le budget formation)

Formation référencement Marseille

Attaque DOS, deny de service
Poster un nouveau sujet Imprimer cette discussion    Forum -> Administration d'un site Web   Les dernières discussions de ce forum sont disponibles au format RSS
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
 
mahefarivony
WRInaute accro
WRInaute accro

Inscrit le: 14 Oct 2002
Messages: 11300
URL permanente de ce messagePosté le : Dim Déc 10, 2006 7:37    Sujet du message: Attaque DOS, deny de service
Yo,

Y a un gus qui s'amuse a me planter mon serveur en me balançant des milliers de requetes par seconde. Extrait de log

Code:

212.138.64.172 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=abcce3fca5bf1a5c19b10ce1c317a
0bd HTTP/1.0" 403 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"
66.249.72.209 - - [10/Dec/2006:06:16:53 +0100] "GET /modules.php?name=Forums&file=posting&mode=quote&p=13459&sid=427db1ecb9f6
657f8838f1aab3eb8d0e HTTP/1.1" 200 9420 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
62.150.40.142 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=48666abbe9633280d71a505d339915
84 HTTP/1.1" 403 221 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"
212.138.64.173 - - [10/Dec/2006:06:16:53 +0100] "POST /modules.php?name=Forums&file=posting&sid=93976aa1128234c9184cda3eacdf9
428 HTTP/1.0" 403 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" "-"


Comment le dégager ?

J'ai essayé ceci dans le .htaccess
Code:
RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F]


.. mais ca marche pas des masses
 
mahefarivony Visiter le site web du posteur
xperienss
WRInaute occasionnel
WRInaute occasionnel

Inscrit le: 01 Jan 2005
Messages: 225
Localisation: Genève - Suisse
URL permanente de ce messagePosté le : Dim Déc 10, 2006 10:10    Sujet du message: Attaque DOS, deny de service
Si tu ne connais pas déjà :
http://www.webrankinfo.com/forums/viewtopic_1404.htm

Xp
 
xperienss Visiter le site web du posteur
mahefarivony
WRInaute accro
WRInaute accro

Inscrit le: 14 Oct 2002
Messages: 11300
URL permanente de ce messagePosté le : Lun Déc 11, 2006 8:53    Sujet du message: Attaque DOS, deny de service
merci mais ça marche pas.

Le gars change d'ip à chaque ligne
 
mahefarivony Visiter le site web du posteur
Szarah
WRInaute accro
WRInaute accro

Inscrit le: 22 Fév 2006
Messages: 7355
URL permanente de ce messagePosté le : Lun Déc 11, 2006 9:31    Sujet du message: Attaque DOS, deny de service
S'il change d'IP à chaque ligne, c'est peut-être une attaque DDOS et tu aurais en fait un démon par ligne.
As-tu lu ceci ?
http://www.securiteinfo.com/attaques/hacking/ddos.shtml

Bon courage !
 
Szarah Visiter le site web du posteur
mahefarivony
WRInaute accro
WRInaute accro

Inscrit le: 14 Oct 2002
Messages: 11300
URL permanente de ce messagePosté le : Lun Déc 11, 2006 9:56    Sujet du message: Attaque DOS, deny de service
oui il s'agit bien d'un DDOS, le total des process apache arrive a saturation en moins de 5 secondes

et .. euh ... ensuite ? Smile

( sarge + apache 1.3)
 
mahefarivony Visiter le site web du posteur
mahefarivony
WRInaute accro
WRInaute accro

Inscrit le: 14 Oct 2002
Messages: 11300
URL permanente de ce messagePosté le : Lun Déc 11, 2006 11:36    Sujet du message: Attaque DOS, deny de service
ok, en cherchant un peu
http://www.linuxsecurity.com/content/view/121960/171/
 
mahefarivony Visiter le site web du posteur
Arsène
WRInaute discret
WRInaute discret

Inscrit le: 07 Mar 2006
Messages: 66
URL permanente de ce messagePosté le : Lun Déc 11, 2006 11:38    Sujet du message: Re: Attaque DOS, deny de service
mahefarivony a écrit:
J'ai essayé ceci dans le .htaccess
Code:
RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F]


.. mais ca marche pas des masses

Est-ce qu'il ne manquerait pas le L sur le RewriteRule ?
Code:
RewriteCond %{HTTP_USER_AGENT} Maxthon [NC]
RewriteRule .* - [F,L]


Il me semble que ce serait encore mieux dans le httpd.conf, comme tu as l'air de maitriser ta Debian.
 
Arsène Visiter le site web du posteur
mahefarivony
WRInaute accro
WRInaute accro

Inscrit le: 14 Oct 2002
Messages: 11300
URL permanente de ce messagePosté le : Lun Déc 11, 2006 15:13    Sujet du message: Attaque DOS, deny de service
mahefarivony a écrit:
ok, en cherchant un peu
http://www.linuxsecurity.com/content/view/121960/171/


au fait je précise ma pensée, en suivant ceci
Code:
Implement Sysctl protection against DDOS

    Eg:

    ----------

    bash# vi /etc/sysctl.conf

    add the below code:

    # Enable IP spoofing protection, turn on Source Address Verification

    net.ipv4.conf.all.rp_filter = 1

    # Enable TCP SYN Cookie Protection

    net.ipv4.tcp_syncookies = 1

    Add the below code in /etc/rc.local and restart network

    for f in /proc/sys/net/ipv4/conf/*/rp_filter;

    do echo 1 > done

    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    ----------


... je sais pas ce que ça fait exactement mais a plus de DDoS chez moi depuis Mr. Green En attendant la prochaine quoi.
 
mahefarivony Visiter le site web du posteur
rog
WRInaute accro
WRInaute accro

Inscrit le: 21 Sep 2006
Messages: 1662
Localisation: sapucaia do sul (RS)
URL permanente de ce messagePosté le : Lun Déc 11, 2006 17:20    Sujet du message: Attaque DOS, deny de service
juste une petite question

passes tu les variables sessions en sid=

?

rog
 
rog Visiter le site web du posteur
ACth
WRInaute passionné
WRInaute passionné

Inscrit le: 11 Nov 2006
Messages: 795
URL permanente de ce messagePosté le : Lun Déc 11, 2006 19:51    Sujet du message: Attaque DOS, deny de service
merci mahefarivony, cela pourra sûrement servir à d'autres face à des gens peu scrupuleux..
 
ACth Visiter le site web du posteur
mahefarivony
WRInaute accro
WRInaute accro

Inscrit le: 14 Oct 2002
Messages: 11300
URL permanente de ce messagePosté le : Mar Déc 12, 2006 9:06    Sujet du message: Attaque DOS, deny de service
rog a écrit:
juste une petite question

passes tu les variables sessions en sid=

?

rog


le forum attaqué est url-rewrité mais effectivement, doit y avoir des sid qui trainent encore.

effectivement je l'ai remarqué aussi en voyant les logs : les zombies appellent toujours la meme page (posting.php) mais toujours avec un sid différent.

Tu as une idée en tête ?
 
mahefarivony Visiter le site web du posteur
rog
WRInaute accro
WRInaute accro

Inscrit le: 21 Sep 2006
Messages: 1662
Localisation: sapucaia do sul (RS)
URL permanente de ce messagePosté le : Mar Déc 12, 2006 14:56    Sujet du message: Attaque DOS, deny de service
c'est clair que le scanner est nul

soit il essaie de trouver une sid valide, il y a juste 16^32 possibilités différentes

soit il essaies d'eviter un systeme de cache

rog

j'ai pondu un script de protection mais je me demande si il serait efficace contre ton agresseur
 
rog Visiter le site web du posteur
 
Montrer les messages depuis:   
Revenir en haut    Forum -> Administration d'un site Web Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1 - 
Connexion
Nom d'utilisateur:    Mot de passe:      Se connecter automatiquement à chaque visite    

Autres sujets de discussion :

Définitions :

  • DoS (Deny of Service)

CLIQUEZ ICI pour vous inscrire à WebRankInfo (forum, annuaire, outils...)

Connexion

© 2001-2005 phpBB Group, support français
Personnalisation : WebRankInfo ™

 ODP  Firefox  Alsacreations  annuaire webmaster Yagoort