Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 2.2.21 (http://httpd.apache.org/) в котором устранена одна уязвимость (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3348) и исправлено 8 ошибок (http://www.apache.org/dist/httpd/CHANGES_2.2.21). Связанные с уязвимостью детали пока не сообщаются, известно только, что проблема связана с особенностью обработки неподдерживаемых HTTP-методов в модулей mod_proxy_ajp.
Некоторые изменения:
- Исправление регрессивного изменения, внесенного при устранении DoS-уязвимости в выпуске 2.2.20 (http://www.opennet.me/opennews/art.shtml?num=31640);
- В mod_filter вместо отбрасывания заголовка Accept-Ranges в ситуации запроса фильтра с наличием AP_FILTER_PROTO_NO_BYTERANGE его значение теперь устанавливается в "none";- В mod_dav_fs устранен крах в случае, когда невозможно загрузить apr DBM-драйвер;
- В mod_rewrite добавлена проверка корректности каждого внутреннего (int:) RewriteMap, даж...
URL: http://www.apache.org/dist/httpd/
Новость: http://www.opennet.me/opennews/art.shtml?num=31736
Та самая? Которая апач клала вместе с сервером?
Жаль. А то в логи глянеш какой-то хрен на ssh ломится из буржундии (самые упёртые арабы). Ответный скан показывает наличие апача (как правило). Фигак по нему скриптом. И тишина.
Почему бы не перевесить ssh на другой порт? Никто и ломиться не будет.
Лень в клиенте каждый раз другой порт указывать.
открой для себя .ssh/config
> открой для себя .ssh/configа если не открывается )) нужно создать.
Угу .. а если для нескольких десятков хостов ещё веселее создаётся, правда можно скриптом, но тогда уж лучше вот этим:#!/bin/bash
LOGFILE="/var/log/auth.log"
HOSTSDENY="/etc/hosts.deny"
BADCOUNT="5"
grep sshd $LOGFILE | grep "Invalid user" | grep -v MY.OWN.IP.ADDRESS | awk '{print $NF}' | sort | uniq -c | sort -n | sed "s/[[:space:]]*//" | \
while read i
do
# read number of failed attempts
count=`echo $i | cut -d" " -f1`
# read ip address from failed attempt
ip=`echo $i | cut -d" " -f2`
# check hostdeny file to see if IP already exist
already=`grep $ip $HOSTSDENY | grep sshd`# if IP does not exist add it to hostdeny file
if [ -z "$already" ]
then
if [ "$count" -ge "$BADCOUNT" ]
then
echo "sshd: "$ip >> $HOSTSDENY
fi
fi
done
откройте для себя denyhosts ;-)
мой ssh ломают преимущественно из кореи (~85%), думал забанить ее, но неохота расходовать кучу памяти на эту херню, бан через iptables по событию попадающему в лог с очисткой по смене ip, максимум 40+ правил было, копия списка на tmpfs, можно время бана задать, поправив скрипт. открой syslog-ng!
>>> бан через iptables по событию попадающему в лог с очисткой по смене ip, максимум 40+ правилОткройте для себя IPSet, и вместо 40+ правил останется 1.
модем с бизибоксом таким премудростям не обучен, зато логи на удаленную машину пишет, и команды по ssh выполняет исправно
> модем с бизибоксом таким премудростям не обучен, зато логи на удаленную машину
> пишет, и команды по ssh выполняет исправноМожет на одном модеме поменять ssh порт?
> модем с бизибоксом таким премудростям не обученА чего тут премудрого? Достаточно более-менее свежего ведра.
да в том и дело, нету свежего, прошивка 10года, а ведро ~03.> Может на одном модеме поменять ssh порт?
Глупости, убегать - проявлять трусость.
>> Может на одном модеме поменять ssh порт?
> Глупости, убегать - проявлять трусость.Отключайте файрвол, не бегите от проблем.
необходимость и достаточность
> открой для себя .ssh/configa лучше alias в .bashrc
Порносайт админишь? :)
> Жаль. А то в логи глянеш какой-то хрен на ssh ломится изА мне какой-то му... в аську наспамил. С рекламой своего г-носайта с подделками часов. Ну я ему и повысил посещаемость, как он и хотел.
Вперед паровоза? На сайте httpd.apache.org - тишина.
Нет, конечно чейнджлоги есть, и файлы доступны - но раз релиз не анонсирован... вполне может быть отзыв - не торопитесь.
>вполне может быть отзывДа, нееее... Сделают Фикс ошибки от исправления регрессивного изменения при устранении уязвимости, дадут ему ещё один +1 номер. Как обычно, то есть. Нет? $)
> - не торопитесь.
Куда? А! Пойду nginx пересоберу:
*) Изменение: теперь, если суммарный размер всех диапазонов больше
размера исходного ответа, то nginx возвращает только исходный ответ,
не обрабатывая диапазоны.*) Добавление: директива max_ranges.
> Куда? А! Пойду nginx пересоберу:Так ему вроде и без этого было неплохо? Хотя хуже от пересборки разумеется не станет :)
> Куда? А! Пойду nginx пересоберу:
> *) Изменение: теперь, если суммарный размер всех диапазонов
> больше
> размера исходного ответа, то nginx
> возвращает только исходный ответ,
> не обрабатывая диапазоны.Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...
> Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...Потому что его от этого не клинило столь жестоко как апача ;). Во всяком случае, я каких-то внятных проблем с потреблением ресурсов нжинксом создать не смог. Хотя укрепление сервака лишним не бывает.
Да легко. Заставляем сервак отдать 100500 копий одного мегабайтного файла одному клиенту. Повторяем это для 10-15 клиентов. нгинх не вклинит, а вот канал связи...
>> Куда? А! Пойду nginx пересоберу:
>> *) Изменение: теперь, если суммарный размер всех диапазонов
>> больше
>> размера исходного ответа, то nginx
>> возвращает только исходный ответ,
>> не обрабатывая диапазоны.
> Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...nginx'у пофиг.
Но он передавал запрос дальше к apache, который и загибался.
Теперь можно отсеивать попытки ddos.
Они еще в рассылку anounce забили писать - про .20 тоже не писали
не пишут ничего про релизы
в итоге про новости узнаю с лора
непорядок блин
> в итоге про новости узнаю с лора
> непорядок блинЛОР - это официальный сайт Apache Foundation. Они так прекрасно подходят друг к другу!