Flood Apache Webserver. - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Flood Apache Webserver.

[Question] Re: Flood Apache Webserver.	04/02/2008 06:10:39 (+0700) \| #61 \| 113446

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Ọc . No . Mình không nói gì về HVA cả . Ý mình nói là người phá mình có kiến thức IT nhiều , và cũng là thành viên của diễn đàn HVA . Ý mình nói về sự trùng hợp . Chứ có trách móc gì phía HVA đâu bạn . Xin lỗi vì mình nói không chính xác . Phải là một người tham gia diễn đàn HVA. Hic . Giờ vẫn đang bị . Tất cả các ý tưởng đều đã được triển khai nhưng ko si nhê smilie

Giờ mình tính làm cách nào đó giới hạn lại kết nối giữa MSSQL SV và Apache Sv . Để nếu có bị flood thì Apache SV die , không ảnh hưởng gì đến MSSQL SV cả . Nhưng google mãi không thấy thông tin gì smilie

[Question] Re: Flood Apache Webserver.	04/02/2008 06:45:27 (+0700) \| #62 \| 113447

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Phân tích lại 2 đoạn sniff của bồ, tôi thấy vài chi tiết quan trọng sau:

1) Bồ bị Syn Flood từ các IP ở VN, chủ yếu là từ Vietel network. Nếu bồ dùng firewall, nên giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa.

2) Trong suốt 2 đoạn sniff ngắn ngủi, có chưa đến 10 IP request đến server của bồ nhưng đã có:
- vài chục duplicated ACK đi từ các public IP. Tình trạng này xảy ra do router của bồ trả lời cái gì đó không hợp lệ hoặc packets bị lost khi router của bồ gởi packets đi đến clients.

- vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin.

- gần một ngàn response packets đi từ 192.168.1.3 đến 192.168.1.5. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên. Nếu website hoạt động bình thường và chỉ có 1 số lượng người nào đó truy cập thì ok. Tuy nhiên, nếu bị flood thì các response packets này sẽ gia tăng theo cấp số và mỗi lần như thế, apache phải tạo connection (socket) đến mssql --> cực kỳ trì trệ.

3) Có dấu hiệu của x-flash. Những dấu hiệu này có biến thái khá mới lạ và chúng chỉ nhằm vào các file có kích thước lớn trên site của bồ. Các files này thường là các flash mà bồ đính trên site của mình. Nếu dùng mod_security, bồ nên cho dòng sau vào httpd.conf:

SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400"

Ngoài ra, MTU của bồ như thế là ok rồi. Không cần phải chỉnh thấp hơn. Tôi nghĩ rằng nếu bồ chạy apache trên Linux có lẽ bồ sẽ không bị tệ hại như thế. Nếu bồ điều chỉnh lại cơ chế truy vấn đến mssql thì site của bồ sẽ bền hơn.

Một lời cuối: bất cứ ai cũng có thể đăng ký nick tại HVA và trở thành member của HVA. Khi họ sinh hoạt trên diễn đàn này, họ cần thực hiện đúng với luật chơi chung của HVA. Tuy nhiên, những gì họ làm bên ngoài diễn đàn HVA, HVA hoàn toàn không chịu trách nhiệm. Bản thân tôi có thể khuyến dụ ai đó là member của HVA ngưng phá phách bồ. Tuy vậy, cá nhân ấy có đồng ý hay không là chuyện ngoài khả năng của tôi. Xin nhớ rằng, HVA không có chủ trương phá hoại. Những gì xảy ra bên ngoài khuôn khổ diễn đàn HVA thì không có gì liên quan đến HVA cả.

Thân mến.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Flood Apache Webserver.	04/02/2008 07:17:41 (+0700) \| #63 \| 113453

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

levinthan wrote:

Bác PXMMRF phân tích cực kì chính xác . Hiện bác khó vào được trang http://ta1.myvnc.com vì mình liên tục bị flood , và hay tắt service nên bác bị timeout. Còn cái NO-IP . Cái này chỉ là DNS thôi . Khi đã qua nó rồi thì nó kết nối đến IP thật . Rất nhanh. Còn như ý của bác nói thì , hịc . Hồi trước em làm 1 line , người chơi đông gấp 2 lần giờ còn không vấn đề gì . Giờ còn có 1/2 players , mà 2 line , mà vẫn bị sập . Web ta1.myvnc.com public lên trianglemu.com nên ổng biết , ổng xem mà flood nên không ổn định . Đây là link web phụ đây : http://taw.myvnc.com/wb . Bác xem xem sao . ( mà giờ ổng đang đọc cũng ko biết chừng ) Đây cũng là Webserver appserv đặt trong LAN nhưng có default gateway khác với game. Không dám public cái link đó lên trianglemu.com luôn. Chỉ có vài chục người gamer quen biết . Họ vào địa chỉ đó chẳng bị gì cả.Em có 2 line ADSL , đã thử dùng 1 line chạy riêng cho Webserver , 1 line chạy riêng cho Game, nhưng khi line Web bị flood , vẫn ảnh hưởng đến Game vì web có kết nối MSSQL đến game trong mạng lan. Em tính đưa cái web lên host của servage cho nó host . chạy mssql connect tới mssql server của em . mà nó ko support MSSQL connect , chỉ có MYSQL thôi . So banana <= câu này lychailon nói trong vài trang web mà ổng học tiếng Anh.

"Nó" nói "So banana" là ý nó nói hệ thống của bạn là "như củ chuối" phải không? Hì hì. Bạn nói lại với nó là "Cười người hôm trước, hôm sau người cười", là "Câu sao không lo cái tiệm net của cậu đi, cứ đi phá người khác"; "Cạnh tranh là phải nâng cao chất lượng phục vụ, chất lượng trang web, chứ đâu đi làm chuyện tầm bậy, hạ đẳng như vậy"; "Có giỏi thì thử tấn công vào HVA webserver xem sao?"...vân vân.

Theo tôi bạn cứ duy trì như sắp xếp hiện nay của bạn. Nếu cần thì sử dụng MySQL của Webserver của công ty hosting. Tạm bố trí "trianglemu.com" có thể hoạt động một cách độc lập. Website-webserver ta1.myvnc.com chỉ làm nhiệm vụ giới thiệu, quảng cáo, tổng kết... gì đó. Trên đó có những link, chỉ khi click vào thì mới dẫn trình duyệt của user đi đến trang "trianglemu.com". Không nên tạo một mối liên hệ "phụ thuộc" dưới hình thức truyền dẫn dữ liệu giữa trianglemu.com và ta1.myvnc.com.

Bạn chú ý là khi một user truy cập đến một website, thí dụ ta1.myvnc.com thì trình duyệt phải hoàn tất hai giai đoạn: phân giải tên miền thành đia chỉ IP với 4 "octets" và truy cập đến webserver có IP trên. Chỉ một giai đoạn bị châm hay trục trặc là quá trình truy cập đến website bị thất bại. Khi một hacker khởi sự tấn công vào website thì hai giai đoạn nói trên cũng phải lần lượt hoàn tất. Nếu hệ thống DNS bị sụp đổ hay bị chậm khi phân giải các gói tin tấn công thì đưong nhiên việc truy cập đến website từ các user khác sẽ không được hay bị chậm lại.

Nếu bạn đã có hai nguồn ADSL thuê bao thì tốt nhất là bạn nên mua một Advanced security router và nối cả hai nguồn ADSL này vào router. Router sẽ cân bằng tải giữa hai nguồn ADSL, cũng như một cái sẽ đứng ra đảm nhân hoàn toàn việc nhận truyền các traffic, khi cái kia bị đứt mach. Trên router này có một firewall khá mạnh và có các cơ cấu quét virus online (quét virus ngay trên các nguồn dữ liệu vào ra), cơ cấu IDS, IPS.... Firewall tích hợp trên Advanced security router này có một cơ chế phòng, chống, hay hạn chế DoS. Cơ chế này mới xem qua thấy nó kỳ cục, buồn cười. Nhưng nghĩ kỹ lại và qua thực tế dùng thì thấy quả là quá thông minh, hình như không thể thông minh hơn, trên hiện trạng thiết bị tầm cỡ ấy. Tôi không kinh doanh net gì cả, chỉ ngâm cứu mạng và bảo mật chơi thôi, mà còn mua được một Advanced security router đấy. (giá cũng không có gì là cao, nếu biết chọn loại phù hợp mà mua)

Sau "chạy rà kỹ" router này bạn có thể lắp webserver như ta1.myvnc.com. Lúc đó có lẽ bạn không còn sợ các DoS thông thường như vừa qua. Chắc chỉ các DDoS quá mạnh thì còn có thể có những trục trặc tạm thời nào đó. Vì DDoS rất mạnh thì những hệ thống hiện đại, tầm cỡ trên TG còn phải chịu thua cơ mà.

Sau khi đã "rà trơn" hệ thống với router mới, có kinh nghiệm, thì bạn có thể lắp một game server sau router, cùng với webserver, tất nhiên phải port forwarding cho game server một cổng khác trên ADSL modem.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Question] Re: Flood Apache Webserver.	04/02/2008 08:29:38 (+0700) \| #64 \| 113457

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

conmale wrote:

Phân tích lại 2 đoạn sniff của bồ, tôi thấy vài chi tiết quan trọng sau:

............................
- vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin.
.......................................
- gần một ngàn response packets đi từ 192.168.1.3 đến 192.168.1.5. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên. Nếu website hoạt động bình thường và chỉ có 1 số lượng người nào đó truy cập thì ok. Tuy nhiên, nếu bị flood thì các response packets này sẽ gia tăng theo cấp số và mỗi lần như thế, apache phải tạo connection (socket) đến mssql --> cực kỳ trì trệ.

Thân mến.

Hì hì. Anh conmale đã phân tích kỹ thêm khi decode các gói tin sniff. Rất tiếc, tôi không thể download các file sniff này. Hinh như nó đã bị delete rồi?

Ngoài ra, khi check website "trianglemu.com" tôi thấy hiện tượng có khá nhiều "Script Error". Đó là hiện tựong có nhiều "incorrect request" (những truy vấn sai sót) từ nguồn gửi (ở đây chính là webserver
ta1.myvnc.com hay cũng có thể từ users nếu như lúc trước đây-lúc có sự số và bạn sniff các gói tin- bạn cho phép user có thể truy cập trực tiếp vào website " trianglemu.com"), từ đó gây ra các lỗi (Script error) trên website "trianglemu.com".

Như vậy nhận xét trên đây của anh conmale trên đây là hoàn toàn chính xác

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Question] Re: Flood Apache Webserver.	04/02/2008 11:27:59 (+0700) \| #65 \| 113469

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Mừng quá . Quá mừng . Mình rất vui khi được hai bạn nhiệt tình giúp đỡ như vậy .Chiều nay buồn lắm , tính buông xuôi rồi , buồn , đi ngủ một giấc , giờ dậy thấy được hai bạn giúp như vậy . Hi .

Bồ bị Syn Flood từ các IP ở VN, chủ yếu là từ Vietel network. Nếu bồ dùng firewall, nên giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa.

Cực kì chính xác . Mình đã nắm được vài cái IP . Cứ hễ mở service là IP đó nhảy vào ào ào . Toàn là 123.xx... 125.xx... Hiện tại cái ISA thấy nó ... ấy ấy quá . Mấy cái rule nó tạo thì OK . Chống được khá nhiều thứ ngoài luồng. Nhưng cũng phải tạo vài cái rule nhỏ để nó không chận với vài phần mềm của client nữa. Chức năng Limit Flood Configuration gì đó , mình thử config tới lui nhưng vẫn không chận được. Giờ máy Webserver có COMODO FIREWALL. Mình sẽ nghiên cứu và tìm thêm firewall khác hữu hiệu hơn. Chỉ cần có đầu mới

giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa.

là rất vui . là có hi vọng tiếp rồi smilie

- vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin.

Cái này , ngày mai mình sẽ thay cái switch , toàn bộ dây và các card mạng lại .

. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên.

Mình không biết về database connection pool , cảm ơn bạn đã chỉ , tí nữa sẽ nghiên cứu nó là gì.

SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400"

Mình vừa thêm vào , hi vọng nó có hiệu quả.

"Nó" nói "So banana" là ý nó nói hệ thống của bạn là "như củ chuối" phải không? Hì hì. Bạn nói lại với nó là "Cười người hôm trước, hôm sau người cười", là "Câu sao không lo cái tiệm net của cậu đi, cứ đi phá người khác"; "Cạnh tranh là phải nâng cao chất lượng phục vụ, chất lượng trang web, chứ đâu đi làm chuyện tầm bậy, hạ đẳng như vậy"; "Có giỏi thì thử tấn công vào HVA webserver xem sao?"...vân vân.

Hic. gần 2 tháng trước .Lúc đầu ổng bảo là game của em có lỗi , ổng bảo ổng sẽ chỉ ra lỗi với điều kiện gì đó , đại loại như là để im account của đó của ổng , cho ổng items trong game dù các gamers khác trong game rất bất bình vì tự nhiên có 1 superman trên trời rơi xuống . Thế là em nghiên cứu và sửa được lỗi , block acc của ổng , dù không cần ổng chỉ như thế nào nữa. Thế là ổng quay qua bảo em làm thế là quá tay , rồi chửi em , rồi bảo em .. " lo mà canh chừng hacker". Thế là từ sáng hôm sau cho đến nay , ngày nào cũng bị flood.

Theo tôi bạn cứ duy trì như sắp xếp hiện nay của bạn. Nếu cần thì sử dụng MySQL của Webserver của công ty hosting. Tạm bố trí "trianglemu.com" có thể hoạt động một cách độc lập. Website-webserver ta1.myvnc.com chỉ làm nhiệm vụ giới thiệu, quảng cáo, tổng kết... gì đó. Trên đó có những link, chỉ khi click vào thì mới dẫn trình duyệt của user đi đến trang "trianglemu.com". Không nên tạo một mối liên hệ "phụ thuộc" dưới hình thức truyền dẫn dữ liệu giữa trianglemu.com và ta1.myvnc.com.

Hic . Hình như bạn hiểu nhầm . Cái trianglemu.com nó chẳng có gì cả , chỉ là vài cái trang index quảng cáo , dẫn đến website chính mà mình host . Mình mua host ,domain trianglemu.com của servage.net để có 1 cái domain cố định , upload cái CLIENT cho gamer download về , và 1 cái forum cho gamer tiện trao đổi . Chứ nó không hỗ trợ MSSQL , không thể đưa cái web chính lên đó được . mà cái web này rất quan trọng . Người mới vào chơi phải vào đó để tao tài khoản , và rất nhiều vấn đề khác nữa , không thể thiếu được.

Nếu hệ thống DNS bị sụp đổ hay bị chậm khi phân giải các gói tin tấn công thì đưong nhiên việc truy cập đến website từ các user khác sẽ không được hay bị chậm lại.

Cái này đúng quan trọng thật nhưng hiện nay , chỉ cần webserver không làm ảnh hưởng đến gameserver thì em mừng lắm rồi. Mục đích ổng flood là cho người chơi không vào được game , khiến em phải tắt web , mà game mà không có web thì 1 thời gian sớm cũng sẽ die . Người chơi mới không có vì không tạo được tài khoản , người chơi cũ thì cũng ra đi luôn vì ... so banana , muonline mà không có web smilie

Advanced security router

Mình vừa nghiên cứu cái này vào trưa nay , cũng tính thử nhưng sợ kinh nghiệm không có , không biết tổ chức cho tốt nữa. Cho mình hỏi ké thì bạn thấy hiệu nào , loại nào thì có giá bình dân mà chất lượng ok , có thể sử dụng tốt cho mô hình mạng của mình hiện nay không , vì google thì thấy có quá nhiều loại , các cửa hàng của VN thì 100% là tụi nó cũng chẳng biết cái nào ngon , à không , phải là cái nào cũng ngon mới đúng . Cái này thật sự không biết thật . Nếu bạn biết thì chỉ giúp nhé . Chứ mình nhìn vào đây thì hoa cả mắt http://www.tic.vn/vi/thongtinbaogiachitiet.asp?idbaogia=91

Rất cảm ơn hai bạn đã nhiệt tình giúp đỡ mình . Tối nay sẽ lại thức sáng đêm để nghiên cứu tiếp . Gần 2 tháng nay , ngày nào cũng ngủ có 3 4 tiếng smilie

[Question] Re: Flood Apache Webserver.	04/02/2008 11:37:46 (+0700) \| #66 \| 113470

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Có người bảo mình
Code:

* Open php.ini
* Find safe_mode = off and change it to safe_mode = on
* Do same thing with safe_mode_gid = off
* Restart appserv

Cũng đã thử , hi vọng có kết quả .

[Question] Re: Flood Apache Webserver.	04/02/2008 12:54:06 (+0700) \| #67 \| 113476

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

levinthan wrote:

Hic . Hình như bạn hiểu nhầm . Cái trianglemu.com nó chẳng có gì cả , chỉ là vài cái trang index quảng cáo , dẫn đến website chính mà mình host . Mình mua host ,domain trianglemu.com của servage.net để có 1 cái domain cố định , upload cái CLIENT cho gamer download về , và 1 cái forum cho gamer tiện trao đổi . Chứ nó không hỗ trợ MSSQL , không thể đưa cái web chính lên đó được . mà cái web này rất quan trọng . Người mới vào chơi phải vào đó để tao tài khoản , và rất nhiều vấn đề khác nữa , không thể thiếu được.

Ờ, cái webserver đang hosting trianglemu.com chạy trên nền linux, cài Apache 1.3.x, PHP 5.2.3, nhưng nó chỉ mở cổng 80 TCP và không hề cài MySQL.
Tuy nhiên servage.net có một Datacenter khổng lồ, có tới 1000 MySQL. Vì các server của nó đều chạy trên nền Linux nên nó không hỗ trợ Ms SQL, như SQL 2000 hay 2005 chẳng hạn.
Sao bạn không chuyển sang dùng MySQL, để website trianglemu.com có thể chạy độc lập, có đủ tính năng cần thiết mong muốn, như tôi đề nghị?. (Hay bạn chưa quen Linux lắm). Cũng như sao bạn không tìm một công ty web hosting khác có các webserver chạy trên nền Windows và có hỗ trợ Ms SQL để hosting trianglemu.com?

Những thứ trong http://www.tic.vn/vi/thongtinbaogiachitiet.asp?idbaogia=91 đa phần là của Cisco, nên giá rất mắc.
Vả lại cũng không có cái nào phù hợp với yêu cầu của bạn. Có dịp tôi sẽ cho bạn xem cái tôi đang dùng, khá rẽ. Chỉ bằng giá một Desktop loại tốt thôi. Còn nếu dùng cái xịn nhất thì cũng chỉ trên dưới 15 triệu đồng thôi.

À quên, trong hệ thống của bạn nếu hardware (như NIC, switch...) hư hỏng, trục trặc, thì thường chỉ gây ra hiện tượng gián đoạn việc truyền các gói tin thôi, ít khi có hiện tượng gây ra, tạo ra các gói tin hay request malformatted. Theo tôi nên xem kỹ các service và việc config. hệ thống, cũng như ảnh hưởng của việc hacker tấn công vào hệ thống.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Question] Re: Flood Apache Webserver.	04/02/2008 13:16:01 (+0700) \| #68 \| 113479

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hi . Nhìn bảng giá trong đó mà chóng mặt . Nếu được bạn cho mình biết hiệu , model của cái router của bạn nhé . Và giá của nó luôn smilie

.Mình cũng muốn dùng MYSQL nhưng thiết kế của MUServer không cho phép nên cũng không dùng LINUX được. Và bắt buộc SQL Server phải là mình host . Cái mình cần là PHP của Apache Server có support php_mssql thôi smilie

Mà dạo quanh vài hosting thấy không có . Mà mình vẫn thích mình host luôn cái web smilie

Toàn quyền kiểm soát dù là không biết kiếm soát ^^

Hiện mình đang nghiên cứu giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa như comale nói và nghiên cứu database connection pool , phải thử một đống các giải pháp rồi mới chợp mắt , đợi đợt tấn công tiếp theo vào lúc 8g sáng mai. Cứ tối nào cũng thử vài thứ rồi hi vọng , 8g dậy là thấy hi vọng tan biến vì màn hình là con số ReceiveQueue tăng ào ào.

[Question] Re: Flood Apache Webserver.	04/02/2008 13:22:32 (+0700) \| #69 \| 113480

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

À quên, trong hệ thống của bạn nếu hardware (như NIC, switch...) hư hỏng, trục trặc, thì thường chỉ gây ra hiện tượng gián đoạn việc truyền các gói tin thôi, ít khi có hiện tượng gây ra, tạo ra các gói tin hay request malformatted. Theo tôi nên xem kỹ các service và việc config. hệ thống, cũng như ảnh hưởng của việc hacker tấn công vào hệ thống.

Vâng . Mình sẽ xem xét kĩ lại xem sao . Cảm ơn bạn đã nhắc nhở.

Có đọc một số bài về iptables hay quá , mà chỉ triển khai được trên LINUX smilie

[Question] Re: Flood Apache Webserver.	04/02/2008 14:45:49 (+0700) \| #70 \| 113489

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hic . Trường hợp khẩn cấp . Không biết hắn đang giở trò gì với mình đây . Huhu. Bác nào mà nhìn log này mà bảo " không ai tấn công em " nữa thì thì em đập đầu vào tường mất thôi .
xem giúp em đi.
http://stukyo.com/access.rar
Dường như hắn ta đang SCAN gì đó .

Đoạn đầu của error.log, thấy có rất nhiều request đến stageb.swf . Còn có cả đống request gì

[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\\ HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../winnt35/system32/cmd.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../winnt351/system32/cmd.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../wint/system32/cmd.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd1.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd1.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../sensepost.exe HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../sensepost.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%9c..%c1%9c../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 to file
[Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%af..%c1%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] File does not exist: C:/xampp/htdocs/..\xd0\xaf
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] File does not exist: C:/xampp/htdocs/..\xd1\x9c
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%e0%80%af..%e0%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%f0%80%80%af..%f0%80%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%f8%80%80%80%af..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%fc%80%80%80%80%af..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file
[Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] Invalid URI in request GET /..\\%e0\\%80\\%af../..\\%e0\\%80\\%af../..\\%e0\\%80\\%af../winnt/system32/cmd.exe\\?/c\\+dir+c: HTTP/1.0

Hiện tại , em đang giới hạn maxthreads lại 100 . Nên log báo hết threads , có nên mở tiếp không các bác ?
Kinh quá . Xem hộ em với.

[Question] Re: Flood Apache Webserver.	04/02/2008 15:00:13 (+0700) \| #71 \| 113493

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hiện tại mình đã block IP đó bằng .htaccess . Nhưng hắn vẫn đang tiếp tục thăm dò . Mấy bác xem giùm xem kiểu tấn công của hắn là kiểu gì và có thể có nguy hại gì không ? Mình có nên chuẩn bị bảo mật gì cho trước mắt không? Hic 117.6.127.180. Lại là IP từ VIETTEL.

[Question] Re: Flood Apache Webserver.	04/02/2008 15:10:35 (+0700) \| #72 \| 113495

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Em block IP rồi . Hắn vẫn request tiếp dù bị denied .

[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_log
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_script
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_shm
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_txt
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/a
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/abc
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/about
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/acart
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/acceso
[Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/access
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/access-log
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/access.log
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/accesslog
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server
configuration: C:/xampp/htdocs/accesswatch
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/acciones
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/account
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/accounting
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/accounts
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/achievo
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/active
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/activex
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/ad
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/address
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/adm
[Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admentor
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admin
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admin.html
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/administration
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/administrator
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admins
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/adminuser
[Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/ads

[Mon Feb 04 01:11:49 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../../winnt/repair/sam._ HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../../winnt/win.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../autoexec.bat HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../boot.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../config.sys HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/hosts HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/passwd HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/shadow HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../autoexec.bat HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../boot.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../conf/Eserv.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../etc/passwd HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../scandisk.log HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/repair/sam HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/repair/sam._ HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/win.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../boot.ini HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../config.sys HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../etc/passwd HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../hosts HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../passwd HTTP/1.0
[Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../shadow HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../template/shared/indexTemplate.xml HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/repair/sam._ HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/user.dat HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/win.ini HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows\\win.ini HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../winnt/win.ini HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../..\\ HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../boot.ini HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../config/html/cnf_gi.htm HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../examples//WEB-INF/../../../../../ HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../scandisk.log HTTP/1.0
[Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../ssd.ini HTTP/1.0

[Question] Re: Flood Apache Webserver.	04/02/2008 15:35:30 (+0700) \| #73 \| 113497

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hic . Từ forum VBB của mình nhận được rất nhiều mail gửi về . Hắn đánh luôn cả diễn đàn trên host trianglemu.com ( http://trianglemu.com/diendan )

The following message was sent to you via the Diễn Đàn TriAngle MU Contact Us form by 1.<ptxscan-demo@MTAuMC4wLjQ.com>
Referring Page: http://www.trianglemu.com/PTtpnvsrbybm.htm
IP Address: 116.118.40.235
User Name: Khách
User ID: 0

Google thông tin về ptxscan thì toàn là ba cái ngôn ngữ gì đâu ko smilie

Trên host trianglemu.com không có file này PTtpnvsrbybm.htm.Hiện mình đã bắt verify image khi send feedback cho vbb forum . Hi vọng ko bị về forum nữa . Còn apache thì sao nhỉ smilie

[Question] Re: Flood Apache Webserver.	04/02/2008 19:49:30 (+0700) \| #74 \| 113499

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Hì hì! Xem trên log mà thấy như vậy, hay phải thấy như vậy mới đúng là bị "tấn công" toàn diện, mọi kẽ hở. Còn như nội dung event log của bạn đưa ra trong các post đầu tiên, thì ai đã quen xem log (thí dụ xem log trên máy của mình sau khi tự mình tấn công DoS đủ loai vào chính máy mình để kiểm tra bảo mật và khả năng chịu đựng của hệ thống) sẽ không thể nói, rất khó nói là máy bạn đã bị tấn công, hay ít nhất là bị tấn công qua cổng 80.

Ngoài ra thì những cái gì có chữ PX thì chắc là của lão PX chứ còn gì nữa? Thôi rỡn chút cho vui. Đó là vì tôi đã check khá kỹ hệ thống của bạn, cả ta1.myvnc.com và trianglemu.com, chủ yếu để tìm ra những vulnerability liên quan đến khả năng hệ thống dễ bị overflow hay bị ngưng trệ khi bị một hacker tấn công DoS vào hệ thống, thông qua cổng 80 hay bất cứ cổng nào đang mở trên hệ thống. Tôi không dùng Proxy khi check bảo mật, tôi thuê bao dịch vụ ADSL của Viettel và VDC, 2 nguồn.

Hiện nay tôi chưa tìm ra được một vulnerability như vậy, nên tôi đã, đang nghiêng về khả năng là những trục trặc vừa qua trên hệ thống chủ yếu là từ nguyên nhân: sự hạn chế của tên miền năng động loại secondary class, hạn chế từ nhà cung cấp dịch vụ Dynamic DNS, từ ISP, mạng của VN...và cả việc incorrect config. (cấu hình chưa đúng ) hệ thống. Tôi không tin là một hacker đã gây cho bạn những trục trặc như vậy. Nếu có một hacker tấn công vào bạn, nó chỉ "góp phần" nhỏ làm hệ thống trục trặc mà thôi.

Còn những lỗi khác sau này có dịp rảnh rang tôi sẽ nói cho bạn. Cũng như tôi sẽ nói rõ về Advanced security router, cho bạn xem tận mắt nó đang hoạt động và bạn sẽ thấy có thích nó hay không? Đầu tư một số tiền vào đó mà sau này bạn không thích, thì lại oán là lão PX xui dại.

Note:À quên, đã thông báo là sẽ check rồi, mà có lúc bạn lại block IP lại thì hỏng to. Lần sau tôi "thay"WAN IP đấy. Hề hề. Chỉ rỡn cho vui thôi.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Question] Re: Flood Apache Webserver.	04/02/2008 21:03:28 (+0700) \| #75 \| 113501

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hic . thế mà làm đau tim quá trời . 5 g sáng ngủ . 7g sáng dậy ngay để xem xem tình hình ra sao rồi. smilie

Bác có nhiều tools hay ghê . Mà flooder đâu có check kĩ như bác , nó vào http://www.trianglemu.com để xem link của mục Quản lý tài khoản hiện tại ( phải cho mọi người biết để tạo tài khoản , ...) thì sẽ thấy là http://ta1.myvnc.com/tamu/ <- cứ đánh thẳng vào nó luôn thôi. Hic . Thôi em nằm , vừa nằm vừa canh tiếp . mở cái Magnifier , đưa chuột vào chữ RecvQ , phóng to ra xem số . Bình thường chỉ có 0 , 1 , 2 . Lâu lâu mở mắt thấy vài trăm , vài ngàn là biết.... tắt apache thôi.

[Question] Re: Flood Apache Webserver.	04/02/2008 23:50:15 (+0700) \| #76 \| 113505

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hic. Vẫn đang bị flood smilie

[Question] Re: Flood Apache Webserver.	05/02/2008 02:47:36 (+0700) \| #77 \| 113511

prof
Moderator

Joined: 23/11/2004 01:08:55
Messages: 205
Offline

levinthan wrote:

Hic. Vẫn đang bị flood

Hello levinthan,

Tôi cũng là người theo dõi khá sát tình trạng của bạn trong mấy ngày gần đây. Rất tiếc, các pcap files đã được xoá (theo khuyến cáo của anh conmale) nên tôi cũng ko thể biết chính xác những gì đã được gửi tới web server của bạn. Theo phỏng đoán của tôi, bên cạnh việc hiệu chỉnh apache theo sự trợ giúp của anh conmale, có lẽ bạn cần hiệu chỉnh thêm một chút các tham số liên quan tới phần TCP/IP của Windows mà Web server đang chạy trên nó, từ đó hi vọng giảm thiểu tình trạng SYN flood(!). Bạn có thể sử dụng công cụ http://www.sniff-em.com/hardenit.shtml. Lưu ý: do hệ thống hiện tại của bạn đang bị tấn công, nên tốt nhất bạn lựa chọn các giá trị tùy chọn thắt chặt nhất, sau đó nới lỏng dần từng tham số rồi xem phản ứng của hệ thống ra sao khi sử dụng công cụ trên.

Ngoài ra, theo gợi ý của bác PXMMRF, nếu có thể bạn cũng nên cân nhắc khả năng tăng cường phần hardware cho hệ thống. Nếu bạn đã có 2 ADSL lines, bạn có thể tham khảo sản phẩm Draytek Security Router hỗ trợ out-bound load balancing trên 2 WAN interfaces. Chi phí cho Router này cũng tầm trên dưới 10 tr VNĐ.

Hi vọng chút góp ý phần nào giúp được bạn vượt qua được đợt khó khăn này.

Thân mến.

[Question] Re: Flood Apache Webserver.	05/02/2008 02:57:24 (+0700) \| #78 \| 113512

seraphpl
Member

Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline

Chào bạn, theo những gì bạn đã nói thì mình có 1 ý thủ công
Bạn nói khi tắt Apache thì games chạy bình thường, mình nghĩ vậy là nó không dos trực tiếp vào servergame. Mình xin đưa ra vài câu hỏi để suy nghĩ
Trong lúc bị dos
-Bạn có thử đưa web tĩnh lên.
-Bạn có thử bỏ tất cả các dịch vụ như reset, xóa mật khẩu,đổi giới tính, chuyển tiền, shop,.... rồi sau đó thêm từng dịch vụ 1 vào, rồi xem trạng thái hệ thống thế nào....
Nếu sau khi thêm vào 1 dịch vụ mà thấy bất ổn thì mới bắt đầu soi cái dịch vụ đó.
Mong là khả quan hơn ,

levinthan wrote:

Hic. Vẫn đang bị flood

cười cái nào smilie

[Question] Re: Flood Apache Webserver.	05/02/2008 03:54:16 (+0700) \| #79 \| 113520

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hi . Lại có người giúp nữa rồi. Vui quá . Mình đã giới hạn các thông số của apache server ( timeout , MaxKeepAliveRequests , keelalivetimeout ,ThreadsPerChild ,MaxRequestsPerChild, ThreadLimit ) nhưng vẫn không khắc phục được. Mình có đọc một số bài viết giới hạn lại TCP/IP trong windows bằng cách chỉnh sửa registry . Để mình thử cái đó xem sao .Có phải cái này không nhỉ

Open your registry and find the key below.

Create a new DWORD value called "SynAttackProtect" and set it to either 0, 1 or 2 based on the table below.

This value causes Transmission Control Protocol (TCP) to adjust retransmission of SYN-ACKS. When you configure this value, the connection responses time out more quickly in the event of a SYN attack (a type of denial of service attack).

* 0 (default) - typical protection against SYN attacks
* 1 - better protection against SYN attacks that uses the advanced values below.
* 2 (recommended) - best protection against SYN attacks. This value adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress.

Optional Advanced Values

For extra control you can create these additional DWORD values in the same key for each of the items below. They are not required for SynAttackProtect to be effective.

* TcpMaxHalfOpen - default value is "100"
* TcpMaxHalfOpenRetried - default value is "80"
* TcpMaxPortsExhausted - default value is "5"
* TcpMaxConnectResponseRetransmissions - default value is "3"

Mình đã up lại đoạn sniff trong quá trình bình thường và bị flood , bạn nào rảnh có thể xem giúp mình nhé http://stukyo.com/flood.rar
Mình sẽ tham khảo một số router xem sao . Có lẽ giá cao thật nhưng nếu nó lọc được 1 ít flood thì cũng cam .
http://www.draytek.com.vn/category.aspx?cat=2
Ở đây có vài cái router support load balancing . Nhưng quan trọng nhất là về mặt security , cái nào cũng là " best security , anti ddos, flood " . cái dlink 520t của mình cũng quảng cáo như vậy smilie

Hiện mình đang ngắm 2 cái là Vigor2910 Dual WAN Security Router ( 170+ $ ) và Vigor2950 Dual WAN Security Router (460+ $). Không biết cái nào phù hợp hơn nhỉ .

Chào bạn, theo những gì bạn đã nói thì mình có 1 ý thủ công
Bạn nói khi tắt Apache thì games chạy bình thường, mình nghĩ vậy là nó không dos trực tiếp vào servergame.

Chính xác là flood vào webserver qua port 80 , mình đã thử change port , thậm chí change port của apache qua port khác , isa listen port 80 rồi chuyển qua đúng port cho apache mà vẫn không si nhê. Vì cái web của mình chẳng có gì . 90% là kết nối , lưu , xuất dữ liệu từ mssql . news cung lấy từ mssql ra , chỉ còn 2 chức năng must have là reg account , change password , user control thôi . bỏ mấy cái tính năng này ra , không kết nối đến mssql nữa thì ... là web trắng rồi smilie

Cảm ơn các bạn đã giúp đỡ. Sự thật là không vui nổi . Trước giờ thảnh thơii lắm . Có nhiều thời gian , còn giờ cứ phải ngồi trên máy suốt luôn , ngày ngày đêm đêm mà canh stop service apache khi bị flood , tìm cách khắc phục .

[Question] Re: Flood Apache Webserver.	05/02/2008 04:21:13 (+0700) \| #80 \| 113522

seraphpl
Member

Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline

Bạn dùng 2 line riêng, 1 cho web, 1 cho server (servergame)
Ms sql bạn để trên máy web hay máy server?
Web liên hệ với server qua trao đổi dữ liệu với sql
Không biết bạn thiết kế theo mô hình nào
1) Web + MS sql <--------------> servergame
2) Web <--------> MS sql <-----> servergame
3) Web <--------------> MS sql + servergame
(Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau)
Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo. smilie

[Question] Re: Flood Apache Webserver.	05/02/2008 04:25:45 (+0700) \| #81 \| 113523

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

seraphpl wrote:

Bạn dùng 2 line riêng, 1 cho web, 1 cho server (servergame)
Ms sql bạn để trên máy web hay máy server?
Web liên hệ với server qua trao đổi dữ liệu với sql
Không biết bạn thiết kế theo mô hình nào
1) Web + MS sql <--------------> servergame
2) Web <--------> MS sql <-----> servergame
3) Web <--------------> MS sql + servergame
(Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau)
Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo.

Nó đấy , là nó đấy , vấn đề mà mình đau đầu , không hiểu nổi . Cả 3 phương án trên mình đều đã thử hết . Và cả 3 phương án đều bị flood tè le . Biết là bị tấn công . Biết là bị tấn công từ web . Mà không biết là how'd they do that smilie

[Question] Re: Flood Apache Webserver.	05/02/2008 06:05:45 (+0700) \| #82 \| 113533

vivashadow
Member

Joined: 08/01/2008 12:36:49
Messages: 95
Offline

Mình cũng đọc qua hết kí sự và hiểu tình trạng của bạn. Chỉ mong bạn nên coi đây là một cơ hội để nâng cao skill defending cho mình. Dù kết quả ra sao bạn cũng học được rất nhiều phải kô?

Mình không biết sâu và có kinh nghiệm gì về hosting và networking security, nhưng qua theo dõi mình có rút ra vài điều trên phương diện logic, biết đâu ngáp phải ruồi smilie

Theo mình hiểu thì khả năng là flooder tìm ra 1 url hợp lệ mà task ứng với url này yêu cầu một khối lượng lớn resource của dbserver. Hiện tại chưa thể ngăn chặn từ gốc bằng firewall vì chưa nắm rõ pthức tcông nhưng để tạm thời hạn chế và khoanh vùng, mình xin đưa ra 1 số gợi ý nhắm vào phần truy cập của web lên DB.
1.Disable lần lượt hoặc (nhị phân) các thao tác của user hoặc guest theo thứ tự giảm dần độ "nặng" của thao tác lên DB, và theo dõi thay đổi áp lực flood.
2. Xem lại các module thống kê xem có cái nào yêu cầu dữ liệu reatime hoặc đáp ứng request tức thời không, mặt khác tăng thời gian tái cập nhật dữ liệu asyn của các module stats, bỏ các auto refresh.
3. Một hướng nữa là bạn tạm thời dừng server game và mở log của DB để theo dõi những access từ web, bật log của một số table chủ yếu như user info,... để phát hiện access hay update tập trung những bản nào từ đó lần ra module hay link mà flooder đang dùng để attack.
Xin bạn hãy coi đây là 1 thử thách hơn là tai họa!

[Question] Re: Flood Apache Webserver.	05/02/2008 06:17:55 (+0700) \| #83 \| 113534

vivashadow
Member

Joined: 08/01/2008 12:36:49
Messages: 95
Offline

Bổ sung: (kô sửa bài trên dc)
4. Tạo một db user khác để dùng cho web php, và thắt chặt quyền và balance cho nó, phần nào sẽ đỡ cho user dành cho game server

[Question] Re: Flood Apache Webserver.	05/02/2008 06:47:46 (+0700) \| #84 \| 113536

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

vivashadow wrote:

Bổ sung: (kô sửa bài trên dc)
4. Tạo một db user khác để dùng cho web php, và thắt chặt quyền và balance cho nó, phần nào sẽ đỡ cho user dành cho game server

Wao . Ý kiến này hay quá . Quả là chưa thử , chưa nghĩ tới . Cảm ơn bạn nhiều

[Question] Re: Flood Apache Webserver.	05/02/2008 08:29:11 (+0700) \| #85 \| 113540

prof
Moderator

Joined: 23/11/2004 01:08:55
Messages: 205
Offline

levinthan wrote:

Hi . Lại có người giúp nữa rồi. Vui quá . Mình đã giới hạn các thông số của apache server ( timeout , MaxKeepAliveRequests , keelalivetimeout ,ThreadsPerChild ,MaxRequestsPerChild, ThreadLimit ) nhưng vẫn không khắc phục được. Mình có đọc một số bài viết giới hạn lại TCP/IP trong windows bằng cách chỉnh sửa registry . Để mình thử cái đó xem sao .Có phải cái này không nhỉ

Open your registry and find the key below.

Create a new DWORD value called "SynAttackProtect" and set it to either 0, 1 or 2 based on the table below.

This value causes Transmission Control Protocol (TCP) to adjust retransmission of SYN-ACKS. When you configure this value, the connection responses time out more quickly in the event of a SYN attack (a type of denial of service attack).

* 0 (default) - typical protection against SYN attacks
* 1 - better protection against SYN attacks that uses the advanced values below.
* 2 (recommended) - best protection against SYN attacks. This value adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress.

Optional Advanced Values

For extra control you can create these additional DWORD values in the same key for each of the items below. They are not required for SynAttackProtect to be effective.

* TcpMaxHalfOpen - default value is "100"
* TcpMaxHalfOpenRetried - default value is "80"
* TcpMaxPortsExhausted - default value is "5"
* TcpMaxConnectResponseRetransmissions - default value is "3"

Mình đã up lại đoạn sniff trong quá trình bình thường và bị flood , bạn nào rảnh có thể xem giúp mình nhé http://stukyo.com/flood.rar
...

Thông tin về bài viết đó chưa đủ. Tôi đã để link của công cụ mà tôi giới thiệu cho bạn trong chữ "này" rồi mà. Cụ thể là ở đây: http://www.sniff-em.com/hardenit.shtml. Bạn tải về và thắt chặt thêm cho phần TCP/IP trên Web server của mình.

...
Bạn có thể sử dụng công cụ này. Lưu ý: do hệ thống hiện tại của bạn đang bị tấn công, nên tốt nhất bạn lựa chọn các giá trị tùy chọn thắt chặt nhất, sau đó nới lỏng dần từng tham số rồi xem phản ứng của hệ thống ra sao khi sử dụng công cụ trên.

Mình sẽ tham khảo một số router xem sao . Có lẽ giá cao thật nhưng nếu nó lọc được 1 ít flood thì cũng cam .
http://www.draytek.com.vn/category.aspx?cat=2
Ở đây có vài cái router support load balancing . Nhưng quan trọng nhất là về mặt security , cái nào cũng là " best security , anti ddos, flood " . cái dlink 520t của mình cũng quảng cáo như vậy
Hiện mình đang ngắm 2 cái là Vigor2910 Dual WAN Security Router ( 170+ $ ) và Vigor2950 Dual WAN Security Router (460+ $). Không biết cái nào phù hợp hơn nhỉ .
...

Bạn nên tự cân nhắc xem thiết bị nào phù hợp với túi tiền và nhu cầu của mình. Tớ sẽ ngâm cứu đoạn sniff mà bạn cung cấp xem có manh mối gì không. Hi vọng có thể giúp được bạn điều gì đó.

[Question] Re: Flood Apache Webserver.	05/02/2008 12:21:08 (+0700) \| #86 \| 113554

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Thông tin về bài viết đó chưa đủ. Tôi đã để link của công cụ mà tôi giới thiệu cho bạn trong chữ "này" rồi mà. Cụ thể là ở đây: http://www.sniff-em.com/hardenit.shtml. Bạn tải về và thắt chặt thêm cho phần TCP/IP trên Web server của mình.

Xin lỗi , mình đọc không kĩ nên tưởng đó là phần mềm sniff.

Tạo một db user khác để dùng cho web php, và thắt chặt quyền và balance cho nó, phần nào sẽ đỡ cho user dành cho game server

Cách này đã thất bại luôn rồi. HIc.

Tớ sẽ ngâm cứu đoạn sniff mà bạn cung cấp xem có manh mối gì không. Hi vọng có thể giúp được bạn điều gì đó.

Cảm ơn bạn rất nhiều. Đã thiết lập Harden-It rồi . Sáng mai mình sẽ có kết quả smilie

[Question] Re: Flood Apache Webserver.	05/02/2008 20:43:26 (+0700) \| #87 \| 113569

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

seraphpl wrote:

Bạn dùng 2 line riêng, 1 cho web, 1 cho server (servergame)
Ms sql bạn để trên máy web hay máy server?
Web liên hệ với server qua trao đổi dữ liệu với sql
Không biết bạn thiết kế theo mô hình nào
1) Web + MS sql <--------------> servergame
2) Web <--------> MS sql <-----> servergame
3) Web <--------------> MS sql + servergame
(Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau)
Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo.

Suy nghĩ, hay chính xác hơn là cách đặt vấn đề, như bạn seraphp trên đây là khoa học, hợp lý.

Khi một hệ thống có nhiều thiết bị, thưc hiện các nhiệm vụ, chức năng khác nhau, thì vấn đề quan trọng nhất là phải thiết lập một sơ đồ bố trí (topology) hợp lý trên mạng. Một sơ dồ hợp lý sẽ giảm thiểu các trục trặc cho hệ thống khi hoạt động, cũng như hạn chế tối đa số lượng và tác hại của các cuộc tấn công từ bên ngoài, trong đó có tấn công DoS.
Từ sơ đồ mạng đã vạch ra, căn cứ yêu cầu, nhiệm vụ của hệ thống (thí dụ public web, xây dựng gameonline, forum, tạo file server... vân vân), ta mới chọn thiết bị phù hợp, kể cả các thiết bị mạng.

Vì vậy chúng ta không nên:
- Làm ngược lại, nghĩa là "nhảy thẳng vào thiết bị", không hề suy nghĩ đến một sơ đồ mạng hợp lý. Khi có trục trặc thì loay hoay sửa chữa, cấu hình (config.), harden lại thiết bị...mà không hề nghĩ đến sơ đồ hệ thống. Vì có thể sơ đồ hệ thống hiện hữu đã có những sai sót cơ bản. Khi một chiếc máy bay mới thiết kế gặp trục trặc thì việc khắc phục trước hết là việc của Tổng công trình sư, không phải là việc một hay hai kỹ sư cơ khí, điện, thấy máy bay hư hỏng bèn nhảy bổ vào sửa chữa lung tung.

- Kỹ thuật mạng (trong đó có thiết bị mạng) hiện phát triển mạnh, có thể nói là như vũ bão. Có rất nhiều kỹ thuật mới cũng như thiết bị mới có khả năng hoàn thành đồng thời nhiều nhiệm vụ phức tạp, mà trước đây phải nhiều thiết bị mới làm đựoc. Vì vậy chúng ta không nên suy nghĩ và thực hiện một việc, công trình theo cách mà chúng ta đã học thời học sinh, sinh viên, hay theo các kiến thức cũ kỹ trước đây.

Trở lại vấn đề của bạn levinthan thì theo tôi trước hết bạn phải tìm ra một optimal topology (sơ đồ tối ưu) cho hệ thống của bạn. Sau đó tìm các thiết bị mới (nếu thấy rất cần và có...tiền), rồi lắp hệ thống theo sơ đồ và chạy thử, kiểm tra hệ thống khi bị tấn công, như vừa rồi.

Hiện nay có vẻ bạn đang "rối"? Tôi hình dung tâp tin httpd.conf trong Apache (vốn dài hơn 10 trang A4 khi in ra) có lẽ đã dày đặc các dòng sửa chữa, bổ sung, mà chắc bạn cũng không nhớ hết. Giống như, thôi thì khi mắc trọng bệnh, ai mách thuốc gì, bèn uống thuốc đó ngay. Thành ra cơ thể là kho chứa thuốc.

Trong một hệ thống Public web, có nhiều service, thì web server (đây ý nói là trình quản lý web như Apache, IIS...) luôn là khâu yếu nhất, dễ tổn thương nhất và nó lại nằm ở lớp cuối cùng, sâu nhất trong mô hình hệ thống (lớp Application). Vì vậy cố gắng không thể để, hay hạn chế các gói tin "tấn công" vào đến đó. Cần cố gằng loại nó từ vòng ngoài. Trước một cuộc tấn công DoS hay DDoS mạnh, viêc config. lại Apache, thí dụ config. trong httpd.conf, là không cần thiết, mất công. Nó chỉ có tác dụng phòng thâm nhập dùng các exploit code.

Ngoài ra tôi thấy bạn phải canh chừng để tắt Apache khi bị tấn công-mất công quá. Song đó là việc cần làm, vì như tôi đã nói, Apache dễ bị tổn thương. Nhưng có một cơ cấu trong firewall của các security router, như Draytek router, làm nhiệm vụ ấy một cách tự động và thông minh, theo chỉ định lúc đầu của ta.

-
-

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Question] Re: Flood Apache Webserver.	06/02/2008 04:26:33 (+0700) \| #88 \| 113590

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Bạn nói rất có lý . Mình không phải không suy nghĩ khi giải quyết . Mình đã thử tổ chức lại mô hình mạng cho hợp lý , thử đủ giải pháp bằng phần mềm để phòng chống nhưng vẫn không có tác dụng. Có lẽ giải pháp mua 1 security router hiện nay là bắt buộc rồi . Gần tết nên kinh phí hơi hạn hẹp . Mình tính mua Draytek Vigor2910 . Có chức năng Load Balancing <- Cái này không quan trọng cho lắm vì mình cần chức năng security để chống ddos và flood , liệu nó có khả năng không nhỉ. thấy quảng cáo thì có nhưng chắc chỉ những người đã sử dụng mới biết . Mấy bạn cho mình ý kiến nhé .

[Question] Re: Flood Apache Webserver.	06/02/2008 09:02:57 (+0700) \| #89 \| 113622

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Một số người khuyên mình nên triển khai kiểu khi bị đánh thì sẽ tự forward sang 1 máy khác để máy đó chịu , không ảnh hưởng đến máy chính . Các bạn cho mình hỏi đây là triển khai kiểu gì và thiết bị cần thiết là gì được không ?

[Question] Re: Flood Apache Webserver.	08/02/2008 17:44:16 (+0700) \| #90 \| 113904

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hôm nay , log access của mình liên tục nhận được thông báo này , từ IP đó , với nội dung cố định đó . Cho mình hỏi đây là gì vậy mấy bạn ? ....

58.186.167.115 - - [08/Feb/2008:03:29:46 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18692
58.186.167.115 - - [08/Feb/2008:03:29:46 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18692 "-" "Microsoft URL Control - 6.00.8862"
58.186.167.115 - - [08/Feb/2008:03:29:58 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693
58.186.167.115 - - [08/Feb/2008:03:29:58 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862"
58.186.167.115 - - [08/Feb/2008:03:30:10 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693
58.186.167.115 - - [08/Feb/2008:03:30:10 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862"
58.186.167.115 - - [08/Feb/2008:03:30:16 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693
58.186.167.115 - - [08/Feb/2008:03:30:16 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862"
58.186.167.115 - - [08/Feb/2008:03:30:23 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693
58.186.167.115 - - [08/Feb/2008:03:30:23 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862"
58.186.167.115 - - [08/Feb/2008:03:30:29 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693
58.186.167.115 - - [08/Feb/2008:03:30:29 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862"

Go to:

Users currently in here
1 Anonymous