URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 7297
[ Назад ]

Исходное сообщение
"Атака на сервер"
Отправлено mar , 13-Июл-11 15:08

Добрый день,
Имеется выделенный сервер на FreeBSD 8 ветки в конфигурации: nginx (как frontend для обработки статики), Apache/2.2.15+mod_php(5.3.2), mysql
вчера вечером (после 18 ч) сервер (именно сервер целиком, а не только web) перестал отвечать на запросы; проходил только ping.
При этом ночью (с 3 до 5), по словам провайдера, была зафиксирована сетевая нагрузка до 20 Мб/с
Утром провайдер перезагрузил сервер.
В логах апача обнаружился вот такой запрос:
xxx.xxx.xxx.xxx - - [12/Jul/2011:18:14:25 +0400] "GET /строка_запроса_поиска
HT^@^@^@^@^@^@^@^@^@^@ и дальше порядка 3 тысяч вот этих самых ^@
после чего лог обрывается
т.е. очень похоже. что таким способом не только завалмвается апач, но перестает дышать вся система (что вообще-то странно).
Сталкивался ли кто-нибудь с подобным, и что можно сделать для предотвращения таких вещей?

Содержание

Атака на сервер,Pahanivo, 16:16 , 13-Июл-11
- Атака на сервер,mar, 16:37 , 13-Июл-11
Атака на сервер,mar, 17:32 , 13-Июл-11

Сообщения в этом обсуждении

"Атака на сервер"
Отправлено Pahanivo , 13-Июл-11 16:16

ipfw deny all from xxx.xxx.xxx.xxx to me

"Атака на сервер"
Отправлено mar , 13-Июл-11 16:37

> ipfw deny all from xxx.xxx.xxx.xxx to me
естественно, но меня больше дыра беспокоит. А то придут завтра с yyy.yyy.yyy.yyy

"Атака на сервер"
Отправлено mar , 13-Июл-11 17:32

update:
Судя по всему, вчерашняя дыра описана:
тут: http://www.xf-russia.ru/forum/threads/%D0%9D%.../
и тут: http://www.h-online.com/open/news/item/Another-DoS-fix-for-A...
апач проапгрейден до Apache/2.2.19 в которой дыра закрыта
ну и на вский случай
включено
LimitRequestBody
и собран ModSecurity