forum.opennet.ru - "Тематический каталог: Начальная защита Apache (apache securi..." (32)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Тематический каталог: Начальная защита Apache (apache securi..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Тематический каталог: Начальная защита Apache (apache securi..."		+/–
Сообщение от auto_topic (??) on 19-Апр-06, 21:08
Обсуждение статьи тематического каталога: Начальная защита Apache (apache security mod_security dos flood) Ссылка на текст статьи: http://www.opennet.me/base/sec/apache_secure.txt.html
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Начальная защита Apache (apache security mod_security dos fl..., creator, 21:08 , 19-Апр-06, (1)

Начальная защита Apache (apache security mod_security dos fl..., sapran, 11:32 , 20-Апр-06, (14)

Начальная защита Apache..., Michael Shigorin, 21:20 , 19-Апр-06, (2)
Начальная защита Apache (apache security mod_security dos fl..., whisper, 21:29 , 19-Апр-06, (3)

Начальная защита Apache (apache security mod_security dos fl..., Ldar, 06:13 , 20-Апр-06, (8)
Начальная защита Apache (apache security mod_security dos fl..., sapran, 11:34 , 20-Апр-06, (15)
Начальная защита Apache (apache security mod_security dos fl..., yurik, 15:10 , 21-Апр-06, (21)

Начальная защита Apache (apache security mod_security dos fl..., Аноним, 21:38 , 19-Апр-06, (4)

Начальная защита Apache (apache security mod_security dos fl..., Квагга, 00:31 , 20-Апр-06, (5)

Начальная защита Apache (apache security mod_security dos fl..., Doktor, 08:02 , 20-Апр-06, (9)
Начальная защита Apache (apache security mod_security dos fl..., изГостей, 11:16 , 20-Апр-06, (12)
Начальная защита Apache (apache security mod_security dos fl..., sapran, 11:35 , 20-Апр-06, (16)

Начальная защита Apache (apache security mod_security dos fl..., фтщтньщгы, 00:36 , 20-Апр-06, (6)
Начальная защита Apache (apache security mod_security dos fl..., фтщтньщгы, 00:40 , 20-Апр-06, (7)
Начальная защита Apache (apache security mod_security dos fl..., gosha_e30, 10:08 , 20-Апр-06, (10)

mod_security, gvy, 15:17 , 20-Апр-06, (19)

Начальная защита Apache (apache security mod_security dos fl..., Аноним, 10:19 , 20-Апр-06, (11)

Начальная защита Apache (apache security mod_security dos fl..., sapran, 11:38 , 20-Апр-06, (17)

Начальная защита Apache (apache security mod_security dos fl..., Siava, 11:18 , 20-Апр-06, (13)

Начальная защита Apache (apache security mod_security dos fl..., Agressor, 14:07 , 20-Апр-06, (18)

Начальная защита Apache (apache security mod_security dos fl..., brAndy_cv, 18:39 , 20-Апр-06, (20)
Начальная защита Apache (apache security mod_security dos fl..., brAndy_cv, 15:46 , 21-Апр-06, (22)
Начальная защита Apache (apache security mod_security dos fl..., Voland, 11:11 , 24-Апр-06, (23)

Начальная защита Apache (apache security mod_security dos fl..., sapran, 11:03 , 26-Май-06, (26)

Начальная защита Apache (apache security mod_security dos fl..., Pticki, 15:59 , 25-Апр-06, (24)
Начальная защита Apache (apache security mod_security dos fl..., tor, 08:26 , 09-Май-06, (25)
Начальная защита Apache (apache security mod_security dos fl..., Имя, 03:45 , 25-Окт-06, (27)
Начальная защита Apache (apache security mod_security dos fl..., Имя, 03:46 , 25-Окт-06, (28)
Начальная защита Apache (apache security mod_security dos fl..., Anatoly Zimin, 13:10 , 10-Дек-06, (29)

Начальная защита Apache (apache security mod_security dos fl..., WebGraf, 01:25 , 22-Окт-09, (30)

Начальная защита Apache (apache security mod_security dos fl..., Michael Shigorin, 17:29 , 26-Окт-09, (31)

Начальная защита Apache (apache security mod_security dos fl..., korrado, 14:25 , 03-Дек-09, (32)

Сообщения по теме [Сортировка по времени | RSS]

1. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от creator (??) on 19-Апр-06, 21:08

Вопрос к автору: ты опытным путем все испробовал ????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от sapran (ok) on 20-Апр-06, 11:32

нет конечно, пришлось и доки почитать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Начальная защита Apache..." +/–

Сообщение от Michael Shigorin on 19-Апр-06, 21:20

...начинается с использования 1.3.x, боюсь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от whisper (??) on 19-Апр-06, 21:29

Кроме того, чтобы поставить, человеку еще бы не помешало знать, что это такое и с чем его едят, хотя бы перевод бы сделал небольшой с офф сайтов.
Мне вот директивы
            DOSHashTableSize 3097
            DOSPageCount 2
            DOSSiteCount 50
            DOSPageInterval 1
            DOSSiteInterval 1
            DOSBlockingPeriod 10
ни о чем не говорят, только методом доктора Догадайсясам и т.п.
В обсчем тема сисек не раскрыта. Низачот!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Ldar (??) on 20-Апр-06, 06:13

в самом начале написано, что это является неким HOWTO соотвественно о опяснениях что ето и зачем не обязано быть ... ссылки на материалы предоставлены!
В целом, как мне кажется, написано неплохо, коротко и по сути.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от sapran (ok) on 20-Апр-06, 11:34

ок, приму к сведению, что для отлельных читателей требуется подробное описание директив.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от yurik (??) on 21-Апр-06, 15:10

Автору
Ничего так для начала. Ну в стартовый минимум для апача я бы дописал  mod_load.c ну и лимиткон какой-то.
Может и вправду сюда удафком не надо перетягивать.
Специально для whisper
Ну а по директивам...
Разве обладая хоть малейшими познаниями в английском плюс переводчиком, нельзя перевести README от модуля?
DOSHashTableSize 3097
DOSPageCount 2     <-- Сколько запросов к старнице можно...
DOSPageInterval 1  <-- за вот это время (в сек.)
DOSSiteCount 50    <--Сколько запросов ко всем  старницам домена можно...
DOSSiteInterval 1   <--за вот это время (в сек.)
DOSBlockingPeriod 10  <-- На сколько заблокировать айпи (в сек.)
Опционально есть еще директивы в модуле
DOSSystemComand   <-- Можно описать системную команду для блокировки
                                               (напр. через  /sbin/iptables -A INPUT -p tcp --dport 80 -s  %s   -j REJECT
                                                В  %s  передается от модуля айпи  )
DOSLogDir                  <--  Директория для хранения список заблокированных айпи  (По умол. /tmp)
DOSEmailNotify         <--  На этот емейл админа отсылать письмо при блокировке
DOSWhitelist               <--  Список "белых" айпи. Может быть несколько. Можно по маскам определять
                                                (напр. 127.0.0.* )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Аноним on 19-Апр-06, 21:38

Тока надо предупреждать, как кто-то справедливо заметил на опенннете, что этот сам модуль mod_security может быть источником проблем, так как и в нем находили серьезные уязвимости. так то.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Квагга on 20-Апр-06, 00:31

Отсутсвие в рабочем Апаче этого самого модуля mod_security - ГАРАНТИЯ получения крупнейших проблем.
Ваш сервис, если вы какой поддерживаете, просто никому не интересен, только поэтому в нем еще не сидит пяток дор.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Doktor (??) on 20-Апр-06, 08:02

Почему проблем то?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от изГостей on 20-Апр-06, 11:16

г-н Квагга, вы уже далеко не в одной теме оставляли замечания типа "JDSAYUGFDSJH не используешь, RFC не читаешь" и в таком духе. На просьбы расшифровать JDSAYUGFDSJH и отослать к номеру RFC еще ни разу не ответили. Может хватит уже? Будьте любезны, вы не на удафкоме. Хотите поделиться - делайте это аргументированно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от sapran (ok) on 20-Апр-06, 11:35

давайте продолжим тему и найдем этому недугу лечение. если не лень конечно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от фтщтньщгы on 20-Апр-06, 00:36

Про Trace метод более или менее ясно ... А про остальное ?! Сделайте так и все.. а что,для чего, зачем...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от фтщтньщгы on 20-Апр-06, 00:40

>>>Ваш сервис, если вы какой поддерживаете, просто никому не интересен, только поэтому в нем еще не сидит пяток дор.
- А если им кто то заинтересуется, то "дор"ы появятся да :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от gosha_e30 on 20-Апр-06, 10:08

использовал неделю mod_security на хостинг машине. один геморой с ним, каждый день жалобы что он чтото блокирует. Пришлось нахрен убрать и жить спокойно без него, если Вас начнуть досить Вам прогнут канал Вам и Вашему провайдеру и mod_security никогда не пригодится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "mod_security" +/–

Сообщение от gvy on 20-Апр-06, 15:17

>использовал неделю mod_security на хостинг машине. один геморой с ним
Ну использовать тоже можно по-разному, у нас тут пока один непредвиденный случай только вышел (и то если бы это был коммерческий хостинг с SLA, а не "для себя и друзей, которые тоже фрисофт пилят" -- то тот конкретный паттерн был бы выписан иначе).
Может, не в модуле дело?
> если Вас начнуть досить Вам прогнут канал Вам и Вашему провайдеру
Вы про syn flood что-нить слышали?  Вовсе необязательно "им" убивать канал, тем более если это не деревенский провайдер.  (а оптимистично настроенному, без расчёта на особую клинику с DSL, но с расчётом на кучу медленных дайлапов апачу -- один умник с flashget может оказаться невольным DoS'ером)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Аноним on 20-Апр-06, 10:19

2Квагга
Ты уж освети этот вопрос подробнее. Какие проблемы именно?
А то, для борьбы с ддосом можно использовать и iptables'ы всякие, синкуки=1, ну еще со снортом поразвлекаться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от sapran (ok) on 20-Апр-06, 11:38

можно конечно и поразвлекаться, но это же к Apache непосредственно не относится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Siava (??) on 20-Апр-06, 11:18

Использую mod_security уже месяца 2, но потратил пару-тройку дней на настройку, чтобы он работал как мне надо. Теперь проблем нет.
Спасибо за статью, попробую :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Agressor (??) on 20-Апр-06, 14:07

2 Siava
Опиши плиз подробней как у тебя сделано - версию апача, модуля, его настройки (конфиг)
Я думаю не только мне интерестно будет... Можно и на wiki.opennet.ru запостить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от brAndy_cv on 20-Апр-06, 18:39

Еще бы неплохо собрать апач с mod_rewrite и в httpd.conf
RewriteEngine on
ReWriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
ReWriteRule .* - [F]

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от brAndy_cv on 21-Апр-06, 15:46

сорри, не заметил в конце :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Voland (??) on 24-Апр-06, 11:11

Привет!
Вчера перенес описанную вами атаку осуществленную при помощи ботов(зомби) управляемых через IRC. Но закрыть я их не смог, так как атакующих было слишком много. Наверно инициатору надоело и просто перестал атаковать.
На Apache установлен mod_security и mod_evasive но они не справились и приходилось блокировать атакующие хосты на фаирволе. В итоге сервер отвечал еле еле ато и совсем не отвечал.
Меня интересует существует ли какая нибудь защита от какого вида атак?
Буду благодарен за помощь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от sapran (ok) on 26-Май-06, 11:03

>На Apache установлен mod_security и mod_evasive но они не справились и приходилось
>блокировать атакующие хосты на фаирволе. В итоге сервер отвечал еле еле
>ато и совсем не отвечал.
>
>Меня интересует существует ли какая нибудь защита от какого вида атак?

я бы ставил для этого Snort и проанализировав поведение атакующих адресов выявлял бы подобные действия и закрывал их на ФВ. просто снорту я в подобных вещах больше доверяю =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Pticki on 25-Апр-06, 15:59

Sushestvuet. Eto Gbitnie kanali i performance clustered apache.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от tor (??) on 09-Май-06, 08:26

to Voland
Поделись ипами атакующих ...
Я тоже сделал скрипт который закрывает в фаере атакующих ... первый апач все по минимуму ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Имя on 25-Окт-06, 03:45

> и приходилось блокировать атакующие хосты на фаирволе
а я пользую простейшие скриптики парсилки логов которые IP автоматом заносят в фаервол

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Имя on 25-Окт-06, 03:46

вот пример тут - http://sys-admin.org/en/node/36

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Anatoly Zimin on 10-Дек-06, 13:10

Давно использую mod_security, замечательная вешь!
И хочу заметить он не раз меня спасал.
>использовал неделю mod_security на хостинг машине. один геморой с ним
Все дело в правильной настройке. ;)
Вот пример:
<IfModule mod_security.c>
# Включает или выключает движок фильтра
SecFilterEngine On
# Проверка правильности кодирования URL
SecFilterCheckURLEncoding On
# Проверка UNICODE кодирования
SecFilterCheckUnicodeEncoding Off
# Использовать только байты из этого диапазона
SecFilterForceByteRange 0 255
# Вести лог только для подозрительных запросов
SecAuditEngine RelevantOnly
# Имя файла лога
SecAuditLog logs/audit_log
# Вывод отладочной информации (установлен минимальный уровень)
#SecFilterDebugLog logs/modsec_debug_log SecFilterDebugLevel 0
# Осуществлять проверку POST запросов
SecFilterScanPOST On
# Для подозрительных запросов по умолчанию писать в лог
# и возвращать HTTP ответ с кодом 500
SecFilterDefaultAction "deny,log,status:500"
# Prevent path traversal (..) attacks
SecFilter "\.\./"
# Prevent XSS atacks (HTML/Javascript injection)
SecFilter "<(.|\n)+>"
# Very crude filters to prevent SQL injection attacks
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
# Require HTTP_USER_AGENT and HTTP_HOST headers
#SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"
# Защита от други атак
# Command execution attacks
SecFilter /etc/password
SecFilter /bin/ls
SecFilter /bin/cat
# Directory traversal attacks
SecFilter "\.\./"
# XSS attacks
SecFilter "<[[:space:]]*script"
# SQL injection attacks
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
# MS SQL specific SQL injection attacks
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
# Защита уязвимого сценария
SecFilterSelective ARG_b2inc "!^$"
# Защита от XSS нападений через cookie PHP сессии
SecFilterSelective ARG_PHPSESSID "!^[0-9a-z]*$"
SecFilterSelective COOKIE_PHPSESSID "!^[0-9a-z]*$"
# Обнаружение вторжений
SecFilterSelective OUTPUT "Volume Serial Number"
SecFilterSelective OUTPUT "Command completed"
SecFilterSelective OUTPUT "Bad command or filename"
SecFilterSelective OUTPUT "file(s) copied"
SecFilterSelective OUTPUT "Index of /cgi-bin/"
SecFilterSelective OUTPUT ".*uid\=\("
</IfModule>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от WebGraf on 22-Окт-09, 01:25

Многие утверждают что именно мод_секьюрити зачастую блокирует phpmyadmin и другого рода стрыпты

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от Michael Shigorin (ok) on 26-Окт-09, 17:29

>Многие утверждают что именно мод_секьюрити зачастую блокирует phpmyadmin и другого рода стрыпты
Неудивительно с учётом http://secunia.com/advisories/search/?search=phpmyadmin ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Начальная защита Apache (apache security mod_security dos fl..." +/–

Сообщение от korrado on 03-Дек-09, 14:25

на нашем сайте используются подсказки, соответственно пока юзер вводит слово в форму, веб-сервер без конца дергается. И это не давало закрутить настройки Евасива. Не хватает параметра типа DosExclude MyString
пришлось в исходник модуля просто добавить строчки Check whiterequest:
      /* Check whitelist */
      if (is_whitelisted(r->connection->remote_ip))
        return OK;

      /* Check whiterequest */
      if (strstr(r->the_request, "myString") != NULL)
        return OK;

      /* First see if the IP itself is on "hold" */
      n = ntt_find(hit_list, r->connection->remote_ip);

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от creator (??) on 19-Апр-06, 21:08
Вопрос к автору: ты опытным путем все испробовал ????
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от sapran (ok) on 20-Апр-06, 11:32
	нет конечно, пришлось и доки почитать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Начальная защита Apache..."		+/–
Сообщение от Michael Shigorin on 19-Апр-06, 21:20
...начинается с использования 1.3.x, боюсь.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от whisper (??) on 19-Апр-06, 21:29
Кроме того, чтобы поставить, человеку еще бы не помешало знать, что это такое и с чем его едят, хотя бы перевод бы сделал небольшой с офф сайтов. Мне вот директивы DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 10 ни о чем не говорят, только методом доктора Догадайсясам и т.п. В обсчем тема сисек не раскрыта. Низачот!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от Ldar (??) on 20-Апр-06, 06:13
	в самом начале написано, что это является неким HOWTO соотвественно о опяснениях что ето и зачем не обязано быть ... ссылки на материалы предоставлены! В целом, как мне кажется, написано неплохо, коротко и по сути.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от sapran (ok) on 20-Апр-06, 11:34
	ок, приму к сведению, что для отлельных читателей требуется подробное описание директив.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от yurik (??) on 21-Апр-06, 15:10
	Автору Ничего так для начала. Ну в стартовый минимум для апача я бы дописал mod_load.c ну и лимиткон какой-то. Может и вправду сюда удафком не надо перетягивать. Специально для whisper Ну а по директивам... Разве обладая хоть малейшими познаниями в английском плюс переводчиком, нельзя перевести README от модуля? DOSHashTableSize 3097 DOSPageCount 2 <-- Сколько запросов к старнице можно... DOSPageInterval 1 <-- за вот это время (в сек.) DOSSiteCount 50 <--Сколько запросов ко всем старницам домена можно... DOSSiteInterval 1 <--за вот это время (в сек.) DOSBlockingPeriod 10 <-- На сколько заблокировать айпи (в сек.) Опционально есть еще директивы в модуле DOSSystemComand <-- Можно описать системную команду для блокировки (напр. через /sbin/iptables -A INPUT -p tcp --dport 80 -s %s -j REJECT В %s передается от модуля айпи ) DOSLogDir <-- Директория для хранения список заблокированных айпи (По умол. /tmp) DOSEmailNotify <-- На этот емейл админа отсылать письмо при блокировке DOSWhitelist <-- Список "белых" айпи. Может быть несколько. Можно по маскам определять (напр. 127.0.0.* )
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от Аноним on 19-Апр-06, 21:38
Тока надо предупреждать, как кто-то справедливо заметил на опенннете, что этот сам модуль mod_security может быть источником проблем, так как и в нем находили серьезные уязвимости. так то.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от Квагга on 20-Апр-06, 00:31
	Отсутсвие в рабочем Апаче этого самого модуля mod_security - ГАРАНТИЯ получения крупнейших проблем. Ваш сервис, если вы какой поддерживаете, просто никому не интересен, только поэтому в нем еще не сидит пяток дор.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от Doktor (??) on 20-Апр-06, 08:02
	Почему проблем то?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от изГостей on 20-Апр-06, 11:16
	г-н Квагга, вы уже далеко не в одной теме оставляли замечания типа "JDSAYUGFDSJH не используешь, RFC не читаешь" и в таком духе. На просьбы расшифровать JDSAYUGFDSJH и отослать к номеру RFC еще ни разу не ответили. Может хватит уже? Будьте любезны, вы не на удафкоме. Хотите поделиться - делайте это аргументированно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от sapran (ok) on 20-Апр-06, 11:35
	давайте продолжим тему и найдем этому недугу лечение. если не лень конечно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от фтщтньщгы on 20-Апр-06, 00:36
Про Trace метод более или менее ясно ... А про остальное ?! Сделайте так и все.. а что,для чего, зачем...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от фтщтньщгы on 20-Апр-06, 00:40
>>>Ваш сервис, если вы какой поддерживаете, просто никому не интересен, только поэтому в нем еще не сидит пяток дор. - А если им кто то заинтересуется, то "дор"ы появятся да :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

10. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от gosha_e30 on 20-Апр-06, 10:08
использовал неделю mod_security на хостинг машине. один геморой с ним, каждый день жалобы что он чтото блокирует. Пришлось нахрен убрать и жить спокойно без него, если Вас начнуть досить Вам прогнут канал Вам и Вашему провайдеру и mod_security никогда не пригодится.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "mod_security"		+/–
	Сообщение от gvy on 20-Апр-06, 15:17
	>использовал неделю mod_security на хостинг машине. один геморой с ним Ну использовать тоже можно по-разному, у нас тут пока один непредвиденный случай только вышел (и то если бы это был коммерческий хостинг с SLA, а не "для себя и друзей, которые тоже фрисофт пилят" -- то тот конкретный паттерн был бы выписан иначе). Может, не в модуле дело? > если Вас начнуть досить Вам прогнут канал Вам и Вашему провайдеру Вы про syn flood что-нить слышали? Вовсе необязательно "им" убивать канал, тем более если это не деревенский провайдер. (а оптимистично настроенному, без расчёта на особую клинику с DSL, но с расчётом на кучу медленных дайлапов апачу -- один умник с flashget может оказаться невольным DoS'ером)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

11. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от Аноним on 20-Апр-06, 10:19
2Квагга Ты уж освети этот вопрос подробнее. Какие проблемы именно? А то, для борьбы с ддосом можно использовать и iptables'ы всякие, синкуки=1, ну еще со снортом поразвлекаться.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от sapran (ok) on 20-Апр-06, 11:38
	можно конечно и поразвлекаться, но это же к Apache непосредственно не относится.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

13. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от Siava (??) on 20-Апр-06, 11:18
Использую mod_security уже месяца 2, но потратил пару-тройку дней на настройку, чтобы он работал как мне надо. Теперь проблем нет. Спасибо за статью, попробую :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от Agressor (??) on 20-Апр-06, 14:07
	2 Siava Опиши плиз подробней как у тебя сделано - версию апача, модуля, его настройки (конфиг) Я думаю не только мне интерестно будет... Можно и на wiki.opennet.ru запостить.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

20. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от brAndy_cv on 20-Апр-06, 18:39
Еще бы неплохо собрать апач с mod_rewrite и в httpd.conf RewriteEngine on ReWriteCond %{REQUEST_METHOD} ^(TRACE\|TRACK) ReWriteRule .* - [F]
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

22. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от brAndy_cv on 21-Апр-06, 15:46
сорри, не заметил в конце :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

23. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от Voland (??) on 24-Апр-06, 11:11
Привет! Вчера перенес описанную вами атаку осуществленную при помощи ботов(зомби) управляемых через IRC. Но закрыть я их не смог, так как атакующих было слишком много. Наверно инициатору надоело и просто перестал атаковать. На Apache установлен mod_security и mod_evasive но они не справились и приходилось блокировать атакующие хосты на фаирволе. В итоге сервер отвечал еле еле ато и совсем не отвечал. Меня интересует существует ли какая нибудь защита от какого вида атак? Буду благодарен за помощь.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от sapran (ok) on 26-Май-06, 11:03
	>На Apache установлен mod_security и mod_evasive но они не справились и приходилось >блокировать атакующие хосты на фаирволе. В итоге сервер отвечал еле еле >ато и совсем не отвечал. > >Меня интересует существует ли какая нибудь защита от какого вида атак? я бы ставил для этого Snort и проанализировав поведение атакующих адресов выявлял бы подобные действия и закрывал их на ФВ. просто снорту я в подобных вещах больше доверяю =)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

24. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от Pticki on 25-Апр-06, 15:59
Sushestvuet. Eto Gbitnie kanali i performance clustered apache.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

25. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от tor (??) on 09-Май-06, 08:26
to Voland Поделись ипами атакующих ... Я тоже сделал скрипт который закрывает в фаере атакующих ... первый апач все по минимуму ...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

27. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от Имя on 25-Окт-06, 03:45
> и приходилось блокировать атакующие хосты на фаирволе а я пользую простейшие скриптики парсилки логов которые IP автоматом заносят в фаервол
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

28. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от Имя on 25-Окт-06, 03:46
вот пример тут - http://sys-admin.org/en/node/36
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

29. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
Сообщение от Anatoly Zimin on 10-Дек-06, 13:10
Давно использую mod_security, замечательная вешь! И хочу заметить он не раз меня спасал. >использовал неделю mod_security на хостинг машине. один геморой с ним Все дело в правильной настройке. ;) Вот пример: <IfModule mod_security.c> # Включает или выключает движок фильтра SecFilterEngine On # Проверка правильности кодирования URL SecFilterCheckURLEncoding On # Проверка UNICODE кодирования SecFilterCheckUnicodeEncoding Off # Использовать только байты из этого диапазона SecFilterForceByteRange 0 255 # Вести лог только для подозрительных запросов SecAuditEngine RelevantOnly # Имя файла лога SecAuditLog logs/audit_log # Вывод отладочной информации (установлен минимальный уровень) #SecFilterDebugLog logs/modsec_debug_log SecFilterDebugLevel 0 # Осуществлять проверку POST запросов SecFilterScanPOST On # Для подозрительных запросов по умолчанию писать в лог # и возвращать HTTP ответ с кодом 500 SecFilterDefaultAction "deny,log,status:500" # Prevent path traversal (..) attacks SecFilter "\.\./" # Prevent XSS atacks (HTML/Javascript injection) SecFilter "<(.\|\n)+>" # Very crude filters to prevent SQL injection attacks SecFilter "delete[[:space:]]+from" SecFilter "insert[[:space:]]+into" SecFilter "select.+from" # Require HTTP_USER_AGENT and HTTP_HOST headers #SecFilterSelective "HTTP_USER_AGENT\|HTTP_HOST" "^$" # Защита от други атак # Command execution attacks SecFilter /etc/password SecFilter /bin/ls SecFilter /bin/cat # Directory traversal attacks SecFilter "\.\./" # XSS attacks SecFilter "<[[:space:]]script" # SQL injection attacks SecFilter "delete[[:space:]]+from" SecFilter "insert[[:space:]]+into" SecFilter "select.+from" # MS SQL specific SQL injection attacks SecFilter xp_enumdsn SecFilter xp_filelist SecFilter xp_availablemedia SecFilter xp_cmdshell SecFilter xp_regread SecFilter xp_regwrite SecFilter xp_regdeletekey # Защита уязвимого сценария SecFilterSelective ARG_b2inc "!^$" # Защита от XSS нападений через cookie PHP сессии SecFilterSelective ARG_PHPSESSID "!^[0-9a-z]$" SecFilterSelective COOKIE_PHPSESSID "!^[0-9a-z]$" # Обнаружение вторжений SecFilterSelective OUTPUT "Volume Serial Number" SecFilterSelective OUTPUT "Command completed" SecFilterSelective OUTPUT "Bad command or filename" SecFilterSelective OUTPUT "file(s) copied" SecFilterSelective OUTPUT "Index of /cgi-bin/" SecFilterSelective OUTPUT ".uid\=\(" </IfModule>
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Начальная защита Apache (apache security mod_security dos fl..."		+/–
	Сообщение от WebGraf on 22-Окт-09, 01:25
	Многие утверждают что именно мод_секьюрити зачастую блокирует phpmyadmin и другого рода стрыпты
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору