Messages posted by: TND.VN

Con WebServer đặt ở CTY mình bị ddos thế này. Router thì lúc nào cũng 50 -80 % trong khi đó cpu của server chỉ có 0-1%. Bình thường các trận DDoS kiểu http flooder thì cpu máy chủ 100% router k hề hấn gì(cái này thì khắc phục đc).

K hiểu có phải bị chơi DrDoS ko ? mình up 1 đoạn wireshark lên cho mọi người cùng ngâm cứu nhé smilie

http://www.mediafire.com/?9ty39dl2bn7h4m0

em có mấy phương án sau đây mọi người xem qua tư vấn giúp em để chống localhack tốt nhất

ví dụ 1 thư mục web là D:\Web\Domain.com\www\ và open_basedir là: C:\Temp
Tất cả các domain đều dùng chung 1 temp là C:\Temp

ví dụ 2 thư mục web là D:\Web\Domain.com\www\ và open_basedir là: D:\Web\Domain.com\Temp\
Mỗi domain sẽ dùng 1 temp riêng

vậy cách nào sẽ tốt hơn ?

E đang dùng cái SEP 12 cho mấy cái webserver vì nó có Network Protection chống đc mấy kiểu DoS flood đơn giản. Và cái Firewall có thể block được nhiều ip một lúc, nhưng giao diện cấu hình các port rất thiếu trực quan.

Không biết còn AV nào có thể đáp ứng đc những điều này ko ?

Mọi người cùng thảo luận Anti-virus nào tốt nhất cho server share hosting chạy IIs7.5 nhé .

Em đang cân nhắc 1 AV vừa đủ các tính năng không thừa mà cũng không thiếu smilie

phuongnvt wrote:

Sao lại không được nhỉ.

Nó chỉ có import từng ip 1 và từng range 1, trong khi đó cần block vài k ips thì chịu thua luôn. Tìm mãi không có cách nào import cả list cả smilie

Bạn xem lại ngay lập tức RAM đi, mình đã bị 1 trường hợp mua 1 con dell mới tinh về nhưng do 1 ram lỗi nó phá luôn cả server phải mang đi bảo hành mặc dù mới mua luôn .

Ram lỗi ~> restart server liên tục (mình bị vào buổi đêm lúc đi ngủ nên không biết)~> hỏng nốt cái ram còn lại ~> hỏng nguồn

Xử lí ngay khi còn kịp...... May hồi đó có cái chương trình theo dõi sức khoẻ hệ thống nên mình mới xác định đc là do lỗi ram.

http://mr.tnd.vn/blog/dell-server-va-canh-tay-phai-dell-openmanage/

e vẫn đang dùng tạm cái SEP vì nó thể cho block 1 list ip kiểu 192.168.1.1,192.168.1.2.......
Trong windows firewall của winserver 2008 không làm được như vậy tiếc thât. Ai có cách nào khoa học hay firewall mềm good nào thì giới thiệu giúp em phát smilie

em đang dùng cái SEP cho Webserver IIS7.5 cái chức năng firewall của nó bỏ qua các cấu hình trong windows firewall và cái chế độ cấu hình rule không trực quan tí nào. Nên nhờ mọi người tư vấn 1 fw mềm nào cho winserver 2008 r2 này để dễ dàng cấu hình vì những server của e bị ddos suốt ngày smilie

conmale wrote:

TND.VN wrote:

Tình hình là mình bị ddos suốt ngày, files logs giờ cả đống cũng gần 200mb. Nếu trên linux thì không nói làm gì. Em bị ddos trên 1 server windows giờ e muốn bóc tách đống ip trong cái logs này, không trùng nhau và cách nhau bằng dấu , để e block nó trong firewall thì làm thế nào. Mọi người cùng tư vấn giúp em nhé.

Cảm ơn

"file logs" của cái gì và nó có định dạng như thế nào?

1 đoạn mẫu a ơi

#Software: Microsoft Internet Information Services 7.5
#Version: 1.0
#Date: 2012-04-30 04:25:45
#Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken
2012-04-30 04:25:45 W3SVC97 TND-SV1 113.160.102.87 GET /showthread.php t=99&page=&p=99 80 - 190.0.50.38 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705) - - thuvienkiengiang.com 500 0 64 0 352 23790
2012-04-30 04:25:45 W3SVC97 TND-SV1 113.160.102.87 GET /showthread.php t=99&page=&p=99 80 - 178.63.26.144 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705) - - thuvienkiengiang.com 503 4 4 249 399 1606
2012-04-30 04:25:45 W3SVC97 TND-SV1 113.160.102.87 GET /showthread.php t=99&page=&p=99 80 - 94.153.224.130 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705) - - thuvienkiengiang.com 503 4 4 225 352 499
2012-04-30 04:25:45 W3SVC97 TND-SV1 113.160.102.87 GET /showthread.php t=99&page=&p=99 80 - 190.96.64.234 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.0.3705) - - thuvienkiengiang.com 503 4 4 225 351 374

Tình hình là mình bị ddos suốt ngày, files logs giờ cả đống cũng gần 200mb. Nếu trên linux thì không nói làm gì. Em bị ddos trên 1 server windows giờ e muốn bóc tách đống ip trong cái logs này, không trùng nhau và cách nhau bằng dấu , để e block nó trong firewall thì làm thế nào. Mọi người cùng tư vấn giúp em nhé.

Cảm ơn

ôi trời có tiền mua server mà k có tiền mua av hả bác, đầu tư 1 cái lic SEP 12 đi nhiều cái lợi lắm.

sao webserver của bạn ko cài av vậy ?

hix nghe a nói e cũng sợ sợ, vì e cũng nghĩ nhỡ khách thuê host của e bị hack thì kiểu gì cũng bị chiến cả smilie

Thôi kết thúc cái shell giờ e post logs cho mọi người xem hacker đã làm đc những gì

http://www.mediafire.com/?y3x5c1v67xwqjqy

vâng trước khi share e đã backup toàn bộ server rồi, với cả nếu có lỗi nào đó thì cũng bị hacker tấn công thôi. Thà thả ra cho các hacker nghịch trước còn hơn sau này hối ko kịp

http://news.tnd.vn/shell/c2.php

nhờ các pro test hộ cái server của e để config cho tốt chống hack smilie

Người này dùng cáp quang viettel, mà anh ấy report rằng vào web thỉnh thoảng bị đứng tức load mãi không được, lúc rất nhanh và lúc load mãi không xong.

Do mới đầu làm quen với wireshark nên e cũng chưa có kinh nghiệm phân tích gì nhiều, nhưng khi so sánh 2 máy khác nhau thì thấy đúng là máy hay mạng anh ấy có vấn đề.

Mình đã up gói tin bắt được khi máy của anh ấy truy cập vào website ở đây

http://www.mediafire.com/?qkznwi2fagikd5m

nhờ mọi người xem giúp và chia sẻ ít kinh nghiệm phân tích wireshark ạ.

xin cảm ơn

có vẻ như mọi người ko quan tâm server win nhiều cho mấy smilie

Như tít ạ, nên disable những function,script nào cho server win dùng php và server win dùng .net nhỉ?

và chống local hack trên winserver thế nào ? cảm ơn mọi người.

mô hình mạng cty em định như sau.

Ftth convert ~> Server(2 NIC) ~> Router(DHCP Server) ~> 5 PC

con server em sẽ cài cho nó winserver 2008 và role "network policy and access services,IIS7.5" để chia sẻ internet cho router , như vậy thì có ok không hay có cách khách tốt hơn ạ ?

Nếu đặt mạng như vậy thì toàn bộ PC sau router khi truy cập vào website đặt ở server kia sẽ đều báo lỗi :yociexp41: vậy làm cách nào để vào vào được web đặt ở server kia mà không cần cấu hình lại iis theeo ip private và sửa files hosts ở client ?

Nếu so với thiết lập mạng như sau thì giải pháp nào sẽ tốt hơn?

FTTH Convert ~> Router - cấu hình DMZ sang server ~> 5 PC

ưu điểu của cách này thì không cần cấu hình "network policy and access services" cho server và có thể vào web ở server bằng cách là sửa files host. Nhưng không rõ là nếu cấu hình như thế thì con router có chịu được nhiệt và giảm hiệu năng không? khách vào website có bị chậm hơn không ?

nhờ mọi người tư vấn smilie

Em đã thử chuyển hướng DMZ sang 1 may tính khác và kis báo liên tục có tấn công mạng DoS.Generic.SYNFlood tới cổng nội bộ 80.

Vậy để làm sao phòng tránh được cái này trên winserver của mình mà không cài kis nhỉ smilie

. Hình như windows firewall vô tác dụng với cái này hay do em chưa cấu hình nhỉ :-s

Anh đã xem files logs của em chưa ạ ?

dòng CMD bên trên là khi em block port 80 lại còn khi mở nó ra và netstat -noa thì nó ra được tổng cộng 500 ip đang kết nỗi khác nhau. mỗi ip đang mở khoảng 5 connection .

đây là log của netstat -noa khi mở port 80 . Và nhân tiện cho em hỏi trên winserver thì làm sao để block 1 ip và 1 dải ip ạ ? Hay phải cài 1 firewall mềm ngoài nữa ạ ?

http://www.mediafire.com/?9v4jdeka3hly6zr

Khi em dùng netstat -noa thì được 1 kết quả dài ngoằng thế này toàn port 135 không hiểu nó đang làm gì nữa

C:\Users\Administrator>netstat -noa

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 1124
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 648
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1936
TCP 0.0.0.0:47001 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 360
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 736
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 776
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING 460
TCP 0.0.0.0:49174 0.0.0.0:0 LISTENING 452
TCP 10.0.0.10:135 113.160.102.10:2367 ESTABLISHED 648
TCP 10.0.0.10:135 113.160.102.10:3915 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:3948 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:3974 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4008 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4032 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4064 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4094 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4115 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4122 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4166 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4182 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4205 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4215 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4218 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4261 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4266 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4276 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4281 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4300 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4329 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4339 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4375 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4389 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:4399 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:46725 ESTABLISHED 648
TCP 10.0.0.10:135 113.160.102.10:46733 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.102.10:46745 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52173 ESTABLISHED 648
TCP 10.0.0.10:135 113.160.103.47:52175 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52177 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52180 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52181 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52182 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52183 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52184 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52186 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52187 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52188 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52189 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52190 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52191 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52192 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52193 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52194 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52195 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52196 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52197 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52198 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52200 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52201 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52202 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52204 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52205 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52206 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52207 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52208 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52209 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52210 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52212 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52213 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52214 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52215 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52216 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52217 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52218 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52219 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52220 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52221 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52222 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52223 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52224 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52225 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52226 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52227 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52228 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52229 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52230 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52232 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52233 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52234 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52235 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52236 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52237 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52238 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52239 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52240 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52241 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52242 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52243 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52244 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52245 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52246 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52247 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52248 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52249 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52250 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52251 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52252 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52253 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52254 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52255 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52256 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52257 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52259 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52260 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52261 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52262 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52263 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52268 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52270 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52271 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.47:52272 TIME_WAIT 0
TCP 10.0.0.10:135 113.160.103.56:2754 ESTABLISHED 648
TCP 10.0.0.10:135 113.160.103.111:4340 ESTABLISHED 648
TCP 10.0.0.10:135 113.160.103.111:4350 ESTABLISHED 648
TCP 10.0.0.10:445 113.160.109.37:4856 ESTABLISHED 4
TCP 10.0.0.10:3389 10.0.0.89:2344 ESTABLISHED 1936
TCP [::]:21 [::]:0 LISTENING 1124
TCP [::]:135 [::]:0 LISTENING 648
TCP [::]:445 [::]:0 LISTENING 4
TCP [::]:3389 [::]:0 LISTENING 1936
TCP [::]:47001 [::]:0 LISTENING 4
TCP [::]:49152 [::]:0 LISTENING 360
TCP [::]:49153 [::]:0 LISTENING 736
TCP [::]:49154 [::]:0 LISTENING 776
TCP [::]:49155 [::]:0 LISTENING 460
TCP [::]:49174 [::]:0 LISTENING 452
UDP 0.0.0.0:500 *:* 776
UDP 0.0.0.0:1434 *:* 1088
UDP 0.0.0.0:4500 *:* 776
UDP 0.0.0.0:5355 *:* 916
UDP 0.0.0.0:27015 *:* 1692
UDP 10.0.0.10:27014 *:* 1692
UDP [::]:500 *:* 776
UDP [::]:1434 *:* 1088
UDP [::]:4500 *:* 776

C:\Users\Administrator>

Em dùng Wireshark và bắt được các packet sau đây. Mọi người thử nhìn qua giúp em với ạ.

http://www.mediafire.com/?403qm4kvqbe1464

Network trong task manager thì thấy ko tốn tí nào nhưng cứ bật server + ISS lên là mất mạng cả công ty luôn chắc do switch quá tải @@!

Em đang cài thử 1 server win ở nhà. Để chắc chắn trước khi đưa nó lên datacenter. Nhưng kì lạ là tự nhiên 1 vài ngày này cứ bật cái server đó lên là cả mạng của công ty bị mất. Em thử deny port 80 đi thì lại có mạng và ping vào modem bình thường. Tắt IIS cũng được kết quả tương tự.

Tắt DMZ đi thì ping đến routing toàn 50 ms :-ss . Em đã thử scan con kido những cũng không ra, quét với tool kis free cũng không có viruts nào. Em đang chạy winserver 2008 r2 sp1 update 24/24 nhưng chưa cài 1 cái AV nào.

Sau khi em config DMZ lại routing chạy TCP Viewer khoảng 30s thì thi được logs sau đây.Nhưng vì chưa có kinh nghiệm với server win nên em không hiểu là có đang bị ddos hay không ạ. Kiểm tra log của IIS thì ko thấy có gì cả :-s Hay con server này bị dính viruts đặc biệt nhỉ.

Files Logs đây ạ :-s.
http://www.mediafire.com/?6louzqrd67bfqn9
Cho em hỏi luôn nên dùng AV nào cho server win nhỉ? Cảm ơn mọi người