OpenForum RSS: Атака на сервер https://opennet.me/openforum/vsluhforumID8/7297.html Добрый день,<br>Имеется выделенный сервер на FreeBSD 8 ветки в конфигурации: nginx (как frontend для обработки статики), Apache/2.2.15+mod_php(5.3.2), mysql<br><br>вчера вечером (после 18 ч) сервер (именно сервер целиком, а не только web) перестал отвечать на запросы; проходил только ping. <br><br>При этом ночью (с 3 до 5), по словам провайдера, была зафиксирована сетевая нагрузка до 20 Мб/с<br><br>Утром провайдер перезагрузил сервер. <br><br>В логах апача обнаружился вот такой запрос:<br><br>xxx.xxx.xxx.xxx - - [12/Jul/2011:18:14:25 +0400] "GET /строка_запроса_поиска <br>HT^@^@^@^@^@^@^@^@^@^@ и дальше порядка 3 тысяч вот этих самых ^@<br>после чего лог обрывается<br><br>т.е. очень похоже. что таким способом не только завалмвается апач, но перестает дышать вся система (что вообще-то странно).<br><br>Сталкивался ли кто-нибудь с подобным, и что можно сделать для предотвращения таких вещей? <br> Атака на сервер (mar) https://opennet.me/openforum/vsluhforumID8/7297.html#3 Wed, 13 Jul 2011 13:32:53 GMT update:<br><br>Судя по всему, вчерашняя дыра описана:<br>тут: http://www.xf-russia.ru/forum/threads/%D0%9D%D0%BE%D0%B2%D1%8B%D0%B9-%D1%80%D0%B5%D0%BB%D0%B8%D0%B7-apache-http-server-%D0%B8%D1%81%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D1%8F%D0%B5%D1%82-%D1%81%D0%B5%D1%80%D1%8C%D0%B5%D0%B7%D0%BD%D1%83%D1%8E-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8.1202/<br>и тут: http://www.h-online.com/open/news/item/Another-DoS-fix-for-Apache-HTTP-server-1247712.html<br><br>апач проапгрейден до Apache/2.2.19 в которой дыра закрыта<br><br>ну и на вский случай<br><br>включено <br>LimitRequestBody <br>и собран ModSecurity<br><br> Атака на сервер (mar) https://opennet.me/openforum/vsluhforumID8/7297.html#2 Wed, 13 Jul 2011 12:37:58 GMT &gt; ipfw deny all from xxx.xxx.xxx.xxx to me <br><br>естественно, но меня больше дыра беспокоит. А то придут завтра с yyy.yyy.yyy.yyy<br><br><br> Атака на сервер (Pahanivo) https://opennet.me/openforum/vsluhforumID8/7297.html#1 Wed, 13 Jul 2011 12:16:58 GMT ipfw deny all from xxx.xxx.xxx.xxx to me<br><br><br>