https://www.opennet.ru/openforum/vsluhforumID3/14650.html Обсуждение статьи тематического каталога: Начальная защита Apache (apache security mod_security dos flood)<br><br>Ссылка на текст статьи: http://www.opennet.ru/base/sec/apache_secure.txt.html<br> https://www.opennet.ru/openforum/vsluhforumID3/14650.html#32 Thu, 03 Dec 2009 11:25:51 GMT на нашем сайте используются подсказки, соответственно пока юзер вводит слово в форму, веб-сервер без конца дергается. И это не давало закрутить настройки Евасива. Не хватает параметра типа DosExclude MyString<br>пришлось в исходник модуля просто добавить строчки Check whiterequest:<br> /* Check whitelist */<br> if (is_whitelisted(r-&gt;connection-&gt;remote_ip))<br> return OK;<br><br><br> /* Check whiterequest */<br> if (strstr(r-&gt;the_request, "myString") != NULL)<br> return OK;<br><br><br> /* First see if the IP itself is on "hold" */<br> n = ntt_find(hit_list, r-&gt;connection-&gt;remote_ip);<br> https://www.opennet.ru/openforum/vsluhforumID3/14650.html#31 Mon, 26 Oct 2009 14:29:39 GMT &gt;Многие утверждают что именно мод_секьюрити зачастую блокирует phpmyadmin и другого рода стрыпты <br><br>Неудивительно с учётом http://secunia.com/advisories/search/?search=phpmyadmin ...<br> https://www.opennet.ru/openforum/vsluhforumID3/14650.html#30 Wed, 21 Oct 2009 21:25:40 GMT Многие утверждают что именно мод_секьюрити зачастую блокирует phpmyadmin и другого рода стрыпты<br> https://www.opennet.ru/openforum/vsluhforumID3/14650.html#29 Sun, 10 Dec 2006 10:10:07 GMT Давно использую mod_security, замечательная вешь!<br>И хочу заметить он не раз меня спасал.<br>&gt;использовал неделю mod_security на хостинг машине. один геморой с ним<br>Все дело в правильной настройке. ;)<br>Вот пример:<br>&lt;IfModule mod_security.c&gt;<br># Включает или выключает движок фильтра<br>SecFilterEngine On<br><br># Проверка правильности кодирования URL<br>SecFilterCheckURLEncoding On<br><br># Проверка UNICODE кодирования<br>SecFilterCheckUnicodeEncoding Off<br><br># Использовать только байты из этого диапазона<br>SecFilterForceByteRange 0 255<br><br># Вести лог только для подозрительных запросов<br>SecAuditEngine RelevantOnly<br><br># Имя файла лога<br>SecAuditLog logs/audit_log<br><br># Вывод отладочной информации (установлен минимальный уровень)<br>#SecFilterDebugLog logs/modsec_debug_log SecFilterDebugLevel 0<br><br># Осуществлять проверку POST запросов<br>SecFilterScanPOST On<br><br># Для подозрительных запросов по умолчанию писать в лог<br># и возвращать HTTP ответ с кодом 500<br>SecFilterDefaultAction "deny,log,status:500"<br><br># Prevent path traversal (..) atta https://www.opennet.ru/openforum/vsluhforumID3/14650.html#28 Tue, 24 Oct 2006 23:46:10 GMT вот пример тут - http://sys-admin.org/en/node/36 https://www.opennet.ru/openforum/vsluhforumID3/14650.html#27 Tue, 24 Oct 2006 23:45:37 GMT &gt; и приходилось блокировать атакующие хосты на фаирволе<br>а я пользую простейшие скриптики парсилки логов которые IP автоматом заносят в фаервол<br> https://www.opennet.ru/openforum/vsluhforumID3/14650.html#26 Fri, 26 May 2006 07:03:28 GMT &gt;На Apache установлен mod_security и mod_evasive но они не справились и приходилось <br>&gt;блокировать атакующие хосты на фаирволе. В итоге сервер отвечал еле еле <br>&gt;ато и совсем не отвечал. <br>&gt;<br>&gt;Меня интересует существует ли какая нибудь защита от какого вида атак? <br><br><br>я бы ставил для этого Snort и проанализировав поведение атакующих адресов выявлял бы подобные действия и закрывал их на ФВ. просто снорту я в подобных вещах больше доверяю =) https://www.opennet.ru/openforum/vsluhforumID3/14650.html#25 Tue, 09 May 2006 04:26:47 GMT to Voland <br>Поделись ипами атакующих ...<br>Я тоже сделал скрипт который закрывает в фаере атакующих ... первый апач все по минимуму ... https://www.opennet.ru/openforum/vsluhforumID3/14650.html#24 Tue, 25 Apr 2006 11:59:12 GMT Sushestvuet. Eto Gbitnie kanali i performance clustered apache.