Flood Apache Webserver. - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Flood Apache Webserver.

[Question] Re: Flood Apache Webserver.	13/02/2008 07:05:55 (+0700) \| #91 \| 114441

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hiện mình đã mua Vigor2950 Dual WAN Security Router (460+ $) vẫn không khắc phục được . Thứ nhất là tình trạng bị đánh vào web , ảnh hưởng đến gameserver vẫn còn bị . hic , mấy ngày tết mà không được ăn tết yên ổn . Hôm nay thì lại bị một ... tình trạng mới . Web lag kinh khủng dù game không bị gì , xem log apache thì không thấy gì bất ổn . Nhưng sniff thì thấy từ IP 87.106.56.236 có rất nhiều request quái đản mà apache không ghi nhận được. IP này liên tục request , cứ apache mở lên là request ngay . Do kiến thức có hạn , mình không thể xác định đây là kiểu đánh gì để phòng chống , nhờ các bạn xem giúp.
http://stukyo.com/dontknow.pcap

Tình hình đó thì có lẽ là chỉ bị mất băng thông và làm webserver overload thôi chứ game thì không sao . Như vậy là lại thêm 1 vấn nạn nữa . 1 cái là bị đánh ảnh hưởng đến game ( not fixed yet ) , và bây giờ thêm cái này nữa . Hic . Các bác rảnh xem giúp mình với . Cảm ơn.

//Chỉnh sửa : Hiện mình đã xem IP 87.106.56.236 . Đây là trang web của CXTRA mà mình include code vào trang index của mình để tăng bảo mật . Chắc vì lý do này mà nó tự kết nối đến Cxtra , gây ra tình trạng vừa rồi . Như vậy cái này là do mình . Hic . Mình thử tìm đủ cách bảo mật nhưng không cách nào hiệu quả cả . Mình đã thử gỡ bỏ tất cả các module xuống, chỉ để 2 module là register và account control . Mình đã chạy profier của MSSQL SERVER để xem xem các query nào chạy nhiều , phải read , write nhiều để tối ưu lại . Nhưng dường như ,... hễ có cái gì mà liên quan giữa Webserver và MSSQL SERVER là bị tấn công . Bây giờ mình đang làm lại , đưa Apacheserver và MSSQL server vào chạy chung 1 máy để tiện sniff . Mình sẽ sớm up lên đây kết quả sniff được của port 80 khi bị đánh , ảnh hưởng đến game.

[Question] Re: Flood Apache Webserver.	13/02/2008 08:48:08 (+0700) \| #92 \| 114457

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Chào các bạn.

Trước tiên mình rất cảm ơn các bạn đã nhiệt tình giúp đỡ mình trong thời gian vừa qua . Mình đã biết được rất nhiều kiến thức qua các lần cố gắng bảo mật cho server . Hôm nay là 12/02 rồi . Đã gần 2 tháng kể từ lúc bị tấn công . Không có ngày nào mà ăn ngủ yên cả . Lúc nào cũng ngồi trên máy để canh và nghiên cứu chống lại . Mình đã thử rất nhiều cách từ router firewall ngoài , firewall software, isa, mod apache , các script cho web , giới hạn connnection ,... đủ thứ nhưng vẫn không khắc phục được . Rất buồn. Cái cảm giác thật sự khó diễn tả ... Hôm nay mình sniff 1 đoạn port 80 ghi lại hoạt động của webserver vào thời điểm bị tấn công ( liên tục từ lúc 05:50 PM và kéo dài 20 phút ) kèm log của apache server.
Rất mong các bạn có thể bỏ chút thời gian ra xem xét và chỉ hộ giúp mình.Lần này mà mình vẫn không sửa được nữa thì có nước bó tay mất smilie

Đây là file : http://stukyo.com/120208.rar

Địa chỉ IP của máy là 192.168.1.3 . Hiện mình đã gộp appserv và mssql lại chạy chung trên máy này luôn để tiện theo dõi.
Rất cảm ơn các bạn đã quan tâm giúp đỡ .

[Question] Re: Flood Apache Webserver.	13/02/2008 21:08:51 (+0700) \| #93 \| 114531

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

levinthan wrote:

Chào các bạn.

Trước tiên mình rất cảm ơn các bạn đã nhiệt tình giúp đỡ mình trong thời gian vừa qua . Mình đã biết được rất nhiều kiến thức qua các lần cố gắng bảo mật cho server . Hôm nay là 12/02 rồi . Đã gần 2 tháng kể từ lúc bị tấn công . Không có ngày nào mà ăn ngủ yên cả . Lúc nào cũng ngồi trên máy để canh và nghiên cứu chống lại . Mình đã thử rất nhiều cách từ router firewall ngoài , firewall software, isa, mod apache , các script cho web , giới hạn connnection ,... đủ thứ nhưng vẫn không khắc phục được . Rất buồn. Cái cảm giác thật sự khó diễn tả ... Hôm nay mình sniff 1 đoạn port 80 ghi lại hoạt động của webserver vào thời điểm bị tấn công ( liên tục từ lúc 05:50 PM và kéo dài 20 phút ) kèm log của apache server.
Rất mong các bạn có thể bỏ chút thời gian ra xem xét và chỉ hộ giúp mình.Lần này mà mình vẫn không sửa được nữa thì có nước bó tay mất
Đây là file : http://stukyo.com/120208.rar

Địa chỉ IP của máy là 192.168.1.3 . Hiện mình đã gộp appserv và mssql lại chạy chung trên máy này luôn để tiện theo dõi.
Rất cảm ơn các bạn đã quan tâm giúp đỡ .

Hello levinthan,

Tình trạng PDU và fragmentation như trước đã giảm rất nhiều. Đây là dấu hiệu đáng mừng. Có 2 điểm quan trọng trong đoạn sniff trên:

1) Dùng Basic Auth (tamu) không khắc phục được flood đâu vì cái này có thể chèn vào công cụ gì đó để flood một cách dễ dàng.

2) Đoạn sniff ngắn ngủi cho thấy bồ bị x-flash và các x-flash request này chỉ nhắm vào các file trong mục /tamu/images/ và /tamu/swf/. Chúng không dồn dập mà chỉ cách rời khoảng 1 đến 2 giây cho mỗi request.

Tôi nhớ tôi có đề nghị bạn đưa 1 đoạn rule cho mod_security vào để cản x-flash. Có lẽ bồ chưa thực hiện hoặc chưa thực hiện đúng nên không có tác dụng ngăn chặn gì cả.

Tôi không rõ bồ sniff thế nào mà chỉ capture được packets đi từ bên ngoài vào mà không có packets trả lời (đi từ server ra). Bồ thử điều chỉnh lại và sniff lại. Thiếu phần đi ra, việc phân tích cực kỳ hạn chế.

Thân mến.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Flood Apache Webserver.	13/02/2008 23:06:04 (+0700) \| #94 \| 114538

mèo con xinh xắn
Member

Joined: 05/02/2008 16:49:04
Messages: 18
Offline

levinthan wrote:

HIc . Mình dùng line VNN 4MB. Cấu hình máy mạnh lắm . Xeon 2g4 . Ram 4g . Hdd 200gb . lúc bị flood , CPU và RAM không hề bị quá tải . Chỉ có apache server thôi .

Quá lởm line ADSL 4m của VNN là down 4096 Up 640 giá trọn gói là ~1,8 triệu 1 tháng đã bao gồm thếu ,máy cũng quá yếu phải dùng con xeon 3,2 g 4 chíp 4 lõi ram ít phải 16G Hdd phải là SCSI 15k/rpm . Vấn đề ở đây là dường truyền bạn đã tham khảo các game khác chưa như MU fpt họ đặt server tại đâu ?, võ lâm truyền kỳ mất bao tiền đặt máy chủ tại các ISP khác nhau, MUHN ngày xưa đặt máy chủ tại bưu điện hà nội bạn biết kinh phí là bao nhiêu không ngày xưa có bị lag không bây giờ thêu đường truyền của ai lag như thế nào, ,vấn đề game cực kỳ tốn băng thông ko làm gì cũng ngang ngữa bị ddos ko tin bạn đặt thử 1 đoạn fim xxx thật hot nên 1 cái host của bạn ví dụ bạn thêu bên mỹ thì có nhiều người down vào die host ngay. mình nghĩ bạn nên đặt hẳn máy chủ tại các ISP thì hiện tượng của bạn sẽ hết, còn các MU free toàn thêu host lởm lên cái nào cũng yếu khách hàng kêu ca nhiều,

còn hiện tượng Flood Apache Webserver thì phải là cái web site hocccna.com đấy nó dùng apache nên khi bị ddos nó sẽ báo như thế chứ vẫn đề của bạn quá ngớ ngẩn

[Question] Re: Flood Apache Webserver.	14/02/2008 00:24:00 (+0700) \| #95 \| 114551

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

To mèo con xinh xắn : Cảm ơn bạn đã đóng góp ý kiến . Nhưng mình làm với quy mô nhỏ , lượng người truy cập cũng có giới hạn nên mình tự biết như thế nào là đủ . Mình đâu phải là công ty , có tiền hàng tỷ đâu mà .... Nhưng thật sự xin lỗi vì vấn đề của mình hoàn toàn không ngớ ngẩn . Cái site hocccna.com mà bạn nói đó là host thuê , bị ddos thì hết bandwidth nên bị suspend , còn site của mình là do mình host với dynamic dns , rõ là bạn không đọc các bài viết của mình mà đã vội chỉ trích .

To comale : Rất cảm ơn comale lần nữa lại giúp đỡ .
Auth basic . Mình bế tắc lắm nên vạ cái gì làm được là thử ngay . Thấy 1 số site khác cũng làm vậy và ở HVA cũng có 1 guide bảo mật bằng .htaccess nên mình cũng thử . Thử xong cũng bị flood ào ào ^^.
Xflash các file image và swf . Mình hoàn toàn đồng ý vì xem file log apache mình cũng chẳng thấy được gì ngoài các request các file image và swf. Mình cũng ngờ ngợ không biết phải không , tại mình thấy nó không liên tục và nếu là xflash thì với config file log của mình thì nó phải để lại dấu vết referen chứ nhỉ . Nhưng đúng là khoảng 1 2 giây thì bị vài cái , nhưng cứ thế mà liên tục , tiến tới như trong clip swf mình record lại quá trình game bị ảnh hưởng . Mình đã thử dùng ddos xflash share.swf với file config là dungyeuanh.txt . Chắc comale có biết cái này. Mình thử config nó , up lên 1 host . Nhờ mọi người truy cập để ... thử tự đánh chính mình . Thì với gần 20 người truy cập , server của mình vẫn không bị gì cả . Apache nhận được liên tục request hàng milisecond nhưng vẫn không die, gameserver cũng không bị gì .

Về file sniff trên là do mình nghĩ là ... bị tấn công thì chỉ cần theo dõi chiều vào , khỏi cần xem chiều ra ... và rút ngắn lại thì dễ cho các bạn xem .... thật là sai lầm . Giờ là 10g22 , cũng gần tới giờ ... hắn quậy . Tí nữa mình sẽ sniff lại và up lên . Cảm ơn bạn rất nhiều .

Còn rule cho mod_security, mình đã add vào rồi .

File httpd.conf , mình đã include mod_security vào :

LoadModule security2_module modules/mod_security2/mod_security2.so
LoadModule unique_id_module modules/mod_unique_id.so
<IfModule mod_security.c>
include modules/mod_security2/modsecurity.conf
</IfModule>

Và đây là nội dung file modsecurity.conf với nội dung config mình đã nghiên cứu , chọn lọc thêm vài cái :

SecRuleEngine On
SecRule ARGS "c:/" t:normalisePathWin
SecRule ARGS "\.\./" t:normalisePathWin
SecRule ARGS "d:/" t:normalisePathWin
SecRule ARGS:highlight "(\x27|%27|\x2527|%2527)"
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
SecFilter "<(.|n)+>"
SecFilter "<[[:space:]]*script"
SecFilter "../"
SecDefaultAction log,auditlog,deny,status:403,phase:2,t:lowercase,t:replaceNulls,t:compressWhitespace
SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"
SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400"
SecFilterSelective "ARG_recipient" "!@modsecurity\.org$"
SecFilterSelective "ARG_recipient" "!@modsecurity\.org$"
SecFilterSelective OUTPUT "Volume Serial Number"
SecFilterSelective OUTPUT "Command completed"
SecFilterSelective OUTPUT "Bad command or filename"
SecFilterSelective OUTPUT "file(s) copied"
SecFilterSelective OUTPUT "Index of /cgi-bin/"
SecFilterSelective OUTPUT ".*uid\=\("
SecFilterSelective ARG_PHPSESSID "!^[0-9a-z]*$"
SecFilterSelective COOKIE_PHPSESSID "!^[0-9a-z]*$"
SecFilterScanPOST On
SecFilterCheckURLEncoding On
SecFilterCheckCookieFormat On
SecFilterCheckUnicodeEncoding Off
SecFilterNormalizeCookies On
SecFilterCookieFormat 1
SecFilterDebugLog logs/modsec.log
SecFilterDebugLevel 0
SecFilterScanPOST On
SecFilter /etc/password
SecFilter /bin/ls
SecFilter "\.\./"
SecFilterForceByteRange 1 255
SecAuditEngine RelevantOnly
SecAuditLogType Serial
SecAuditLog logs/mod_security2.log
SecServerSignature "NOYB"
SecServerResponseToken Off
SecRequestBodyAccess On
SecResponseBodyAccess Off
SecUploadKeepFiles Off
SecRequestBodyLimit 131072
SecRequestBodyInMemoryLimit 131072
SecResponseBodyLimit 524288

[Question] Re: Flood Apache Webserver.	14/02/2008 03:41:11 (+0700) \| #96 \| 114591

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Đợi mãi đến 1g hắn mới chịu tấn công tiếp. Lần này mình sniff cả 2 chiều i/o luôn . Display lên đến vài chục ngàn ... Sợ bạn đọc không nổi. Mình nhìn hoa cả mắt. Đoạn đầu của file sniff có thể là chưa bị tấn công . Bắt đầu vào lúc 1g là tấn công dồn dập đến 1g30 luôn. . Hừm . Giờ đang để ý . MSSQL vẫn còn nhẹ ram nhưng chắc cũng ảnh hưởng . Còn httpd.exe thì ram ngốn lên gần 1GB smilie

. comale cho mình hỏi nếu là xflash thì sao mình không thể xem được nguồn của nó ở đâu nhỉ , không thấy referen của nó .

Đây là file sniff kèm theo log của apache : http://stukyo.com/130208.rar
Giải nén ra là 40+MB . Log hơi dài . 30' lận .2 chiều nữa,Bạn chịu khó xem giúp mình nhé . Cảm ơn.

[Question] Re: Flood Apache Webserver.	14/02/2008 06:11:51 (+0700) \| #97 \| 114610

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Nếu 1 site A chứa flash banner để tấn công và người dùng vào site A này để xem những thứ khác, đồng thời "xem" cả flash banner ấy thì request đi thẳng từ người dùng đến site B (bị tấn công). Những request được tạo ra từ browser của người dùng khi đụng phải banner ấy sẽ không có thông tin Referer ở đâu cả.

Hãy xem 1 đoạn thông tin từ gói sniff bồ vừa gởi:

GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/main.php?op=user
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT
If-None-Match: "e5b0000000041dd-db66-444c0539c3b80"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:44 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=512
ETag: "e5b0000000041dd-db66-444c0539c3b80"

GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/main.php?op=user
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT
If-None-Match: "e5b0000000041dd-db66-444c0539c3b80"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:45 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=511
ETag: "e5b0000000041dd-db66-444c0539c3b80"

GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/main.php?op=user
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT
If-None-Match: "e5b0000000041dd-db66-444c0539c3b80"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:46 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=510
ETag: "e5b0000000041dd-db66-444c0539c3b80"

GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/main.php?op=user
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT
If-None-Match: "e5b0000000041dd-db66-444c0539c3b80"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:48 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=509
ETag: "e5b0000000041dd-db66-444c0539c3b80"

GET /tamu/includes/image_verify.php HTTP/1.1
Accept: */*
Referer: http://ta1.myvnc.com/tamu/main.php?op=myaccount
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 200 OK
Date: Wed, 13 Feb 2008 06:06:48 GMT
Server: Apache
X-Powered-By: PHP/5.2.4
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Last-Modified: Wed, 13 Feb 2008 06:06:49 GMT
Cache-Control: post-check=0, pre-check=0
Content-Length: 1133
Keep-Alive: timeout=15, max=508
Connection: Keep-Alive
Content-Type: image/jpeg

......JFIF.............>CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), default quality
...C..............
..
................. $.' ",#..(7),01444.'9=82<.342...C........

.2!.!22222222222222222222222222222222222222222222222222........2.."......................................
.....................}........!1A..Qa."q.2....#B...R..$3br..
.....%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz........................................................................................................
.....................w.......!1..AQ.aq."2...B.....#3R..br.
.$4.%.....&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz.......................
.............................................................?..[+(..[....8YQ..{.l.U\....$......k.y..q%.....C(.4.[v..v2B.?6...p
..R{]>...U....)...PU...1..%....y..n......7+......F(...#...a..n.9.@.J..+.i)......^..R.U....F...?/g...<.E........'..A..J.%......T.....@.F....R........dsS..k.A.m.)t..R...........a.Y......O.....Mqe...g..#...<.
..
QK......S..;!sT.;zyz.*I..Z^I
...!H....W,....d]....y.<d...G.j2Z.3J..K:le%A*...RJ...5r}B.T.M...J.e..w...F....$...@$..=k...[....}.L.$..2....:.N.
)..sv....(.5
(..
(..
(..
(..?..

GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/main.php?op=user
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT
If-None-Match: "e5b0000000041dd-db66-444c0539c3b80"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:50 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=507
ETag: "e5b0000000041dd-db66-444c0539c3b80"

GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/main.php?op=user
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT
If-None-Match: "e5b0000000041dd-db66-444c0539c3b80"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:52 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=506
ETag: "e5b0000000041dd-db66-444c0539c3b80"

GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/main.php?op=user
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT
If-None-Match: "e5b0000000041dd-db66-444c0539c3b80"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:53 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=505
ETag: "e5b0000000041dd-db66-444c0539c3b80"

GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/main.php?op=myaccount
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT
If-None-Match: "e5b0000000041dd-db66-444c0539c3b80"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:54 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=504
ETag: "e5b0000000041dd-db66-444c0539c3b80"

GET /tamu/swf/main_navi.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 03 Sep 2007 22:20:36 GMT
If-None-Match: "23600000000479d-22017-4394294f341fc"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:55 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=503
ETag: "23600000000479d-22017-4394294f341fc"

GET /tamu/swf/logo.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/swf/main_navi.swf
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 07 Jan 2008 14:34:20 GMT
If-None-Match: "9a00000000479c-6e8e-44322c1771ac0"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:55 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=502
ETag: "9a00000000479c-6e8e-44322c1771ac0"

GET /tamu/images/newportrait1.jpg HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/images/slideshow.swf
x-flash-version: 9,0,115,0
Cache-Control: no-transform
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 07 Jan 2008 14:51:10 GMT
If-None-Match: "55a000000003ffa-9d4e-44322fdab56fa"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:06:56 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=501
ETag: "55a000000003ffa-9d4e-44322fdab56fa"

GET /tamu/images/newportrait2.jpg HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/images/slideshow.swf
x-flash-version: 9,0,115,0
Cache-Control: no-transform
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 07 Jan 2008 14:59:51 GMT
If-None-Match: "fb80000000041aa-fb85-443231cb742f2"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:07:01 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=500
ETag: "fb80000000041aa-fb85-443231cb742f2"

GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1
Accept: */*
Accept-Language: en-US
Referer: http://ta1.myvnc.com/tamu/main.php?op=myaccount
x-flash-version: 9,0,115,0
Accept-Encoding: gzip, deflate
If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT
If-None-Match: "e5b0000000041dd-db66-444c0539c3b80"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Connection: Keep-Alive
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

HTTP/1.1 304 Not Modified
Date: Wed, 13 Feb 2008 06:07:05 GMT
Server: Apache
Connection: Keep-Alive
Keep-Alive: timeout=15, max=499
ETag: "e5b0000000041dd-db66-444c0539c3b80"

POST /tamu/main.php?op=myaccount HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://ta1.myvnc.com/tamu/main.php?op=myaccount
Accept-Language: en-us
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: ta1.myvnc.com
Content-Length: 143
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a

login=xxxxxxxx&account_login=account_login&pass=xxxxxxx®istration=registration&verifyinput2=43802&Submit=%C4%90%C4%83ng+nh%E1%BA%ADp%21

Có gì đặc biệt ở các phần đã được tô màu? Những phần sau đó đều tương tự.

1) Request gởi đến server của bồ được khai báo là nó dùng x-flash plugin để request (phần x-flash-version).
2) Request gởi đến liên tục có cùng 1 giá trị Referer. Đây là điểm bất hợp lệ bởi vì cùng một request đến nav_menu_mutoolz_new.swf phải xảy ra liên tục và có cùng 1 Referer?
3) Trong khi đó, server của bồ đã respond 304, có nghĩa là file này không thay đổi, browser nên dùng bản đã được cache.
4) Client gởi request đến và đòi hỏi rằng: If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT (nếu thay đổi từ lúc 3:58:54 giờ GMT thì cung cấp bản mới) mặc dù server liên tục báo là "không có gì thay đổi" (code 304).

Với biên độ request như thế, chứng tỏ firewall của bồ hoàn toàn không giới hạn request rate và vì lý do gì đó, mod_security hoàn toàn không có tác dụng. Bồ nên xem lại hai yếu tối quan trọng này.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Flood Apache Webserver.	14/02/2008 06:59:37 (+0700) \| #98 \| 114614

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Rất cảm ơn bài phân tích rất chi tiết của comale . Hiện mình đã thử rất nhiều firewall . Ngay cả cái draytrek hình như cũng không hiệu quả . Bạn có thể chỉ mình giúp firewall nào có thể chận tốt các request không ? Chứ các firewall của mình từ software đến hardware toàn thiết lập xong , limit các request xuống thấp nhất mà vẫn bị. Cho mình hỏi thêm vậy nếu bây giờ mình gỡ hết các flash swf xuống thì có phải hắn sẽ không flood được nữa không . Và nếu là ko bị nữa thì mình đem cái flash này lên host khác . Ví dụ host trianglemu.com mua của servage.net thì khi bị đánh thì host đó sẽ bị , còn host ta1.myvnc.com sẽ không bị gì cả đúng không ạ. Hic . Không hiểu sao cái mod_security lại không hoạt động nhỉ .

[Question] Re: Flood Apache Webserver.	14/02/2008 07:28:25 (+0700) \| #99 \| 114620

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hic . Mình đã gỡ hết các file flash SWF xuống rồi mà vẫn bị đánh bầm dập. Liệu các file IMG có thể bị đánh không vậy comale ? Hay tất cả mọi thứ đều có thể bị DDOS ???

[Question] Re: Flood Apache Webserver.	14/02/2008 14:39:34 (+0700) \| #100 \| 114659

seraphpl
Member

Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline

levinthan wrote:

Hic . Mình đã gỡ hết các file flash SWF xuống rồi mà vẫn bị đánh bầm dập. Liệu các file IMG có thể bị đánh không vậy comale ? Hay tất cả mọi thứ đều có thể bị DDOS ???

gọi B là web bị dos
Mình hiểu Xflash là mượn 1(hay nhiều) trang web(gọi là A) nhiều người truy cập, rồi gắn cái flash có độc trên đó. Mỗi người truy cập vào trang web A thì sẽ đồng thời mở 1 request tới trang web B (trong web B có thể có flash, hình ảnh(img), text,film...), web B sẽ reply
Vậy càng nhiều web A(A1,A2,A3,...) , càng nhiều ngừơi truy cập vào các web A(1,2,3,....) thì web B càng bị dos nhiều hơn.
Do đó cho dù gỡ hết SWF, hình ảnh, âm thanh,... thì cũng bị dos như thường.

[Question] Re: Flood Apache Webserver.	14/02/2008 16:25:09 (+0700) \| #101 \| 114661

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hic . Khổ tâm thật . mod security thì không chống được . Cản request rate cũng không xong . Giờ thì biết NGUYÊN DO rồi , các bạn tư vấn mình cách nào phòng chống với. Đang xem về mod_line_edit mà đọc thấy ...

Tuy vậy, phương thức này cũng có những nhược điểm:

* Thứ nhất, nó chỉ chống được thế hệ xFlash hiện tại. Theo nghiên cứu của riêng tôi, Flash, cụ thể là Flash Player 9 với ActionScript 3, cực kì nguy hiểm. Cách làm này sẽ không thể chống được thế hệ xFlash mới được phát triển dựa trên tính năng của ActionScript 3. Ngoài ra, nếu kẻ tấn công biết cách khai thác các lỗ hổng của Flash 9 trở về trước, phương thức này cũng sẽ trở nên vô tác dụng.

* Thứ hai, nó chỉ phát hiện và chống được POST request từ xFlash. Theo anh con-ma-le cho biết, một số biến thể xFlash hiện tại chỉ chơi GET request mà thôi.

[Question] Re: Flood Apache Webserver.	14/02/2008 18:14:13 (+0700) \| #102 \| 114662

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

levinthan wrote:

Hic . Khổ tâm thật . mod security thì không chống được . Cản request rate cũng không xong . Giờ thì biết NGUYÊN DO rồi , các bạn tư vấn mình cách nào phòng chống với. Đang xem về mod_line_edit mà đọc thấy ...

Tuy vậy, phương thức này cũng có những nhược điểm:

* Thứ nhất, nó chỉ chống được thế hệ xFlash hiện tại. Theo nghiên cứu của riêng tôi, Flash, cụ thể là Flash Player 9 với ActionScript 3, cực kì nguy hiểm. Cách làm này sẽ không thể chống được thế hệ xFlash mới được phát triển dựa trên tính năng của ActionScript 3. Ngoài ra, nếu kẻ tấn công biết cách khai thác các lỗ hổng của Flash 9 trở về trước, phương thức này cũng sẽ trở nên vô tác dụng.

* Thứ hai, nó chỉ phát hiện và chống được POST request từ xFlash. Theo anh con-ma-le cho biết, một số biến thể xFlash hiện tại chỉ chơi GET request mà thôi.

Tôi không rành cái firewall bồ dùng nên không thể góp ý cho bồ khoản giới hạn request rate trên firewall ấy. Tuy nhiên, tôi có thể giúp bồ khoản mod_security.

Việc đầu tiên bồ cần xác định xem mod_security có thật sự làm việc trên apache của bồ hay không. Xem thử trong nơi chứa log của apache có xuất hiện log của mod_security hay không? Xem thử trong error_log của apache có gì đụng chạm đến mod_security hay không? Nếu không, bồ phải thực hiện lại việc cài đặt mod_security cho đúng rồi mới có thể tính tiếp.

Bồ nên biết rằng, với trang web của bồ, mỗi request đi thẳng đến một module php là mỗi "cú đấm" làm tổn hại. Nó không những tổn hại tài nguyên của apache mà nó còn tổn hại tài nguyên của DB bởi nó tương tác trực tiếp đến việc truy vấn đến database.

Tôi đưa ra hai điểm cần khắc phục ở bài trước vì hai lý do:

1) Một khi bồ có thể giới hạn số lượng request trong mỗi giây thì dung hại sẽ giảm hẳn bởi vì nó không có cơ hội "đập" dồn dập nữa. Cái này phải thiết lập trên firewall. Tìm tài liệu về sản phẩm firewall bồ dùng mà tham khảo cho thật kỹ các chức năng này.

2) Firewall có thể bỏ sót những request dung hại. Bởi thế, một số request dung hại vẫn có thể vào đến apache. mod_security trở thành công cụ quý giá để cản lọc những request ấy trước khi nó đi sâu vào trong.

Có những trường hợp bồ bị DDoS với các request hoàn toàn hợp lệ. Bởi thế, firewall chỉ có thể giới hạn biên độ request và mod_security không có gì để cản cả. Trong trường hợp này, ứng dụng web của bồ phải có đủ khả năng cản lọc những request có vẻ không hợp lý. Ví dụ: người dùng (có session hẳn hòi) không thể request liên tục một trang, một bức ảnh nhiều lần trong một khoảng thời gian nào đó. Nếu có tình trạng không hợp lý này xảy ra, session ấy phải bị hủy ngay lập tức để duy trì tính ổn định cho trang web. Đây là tầng tự vệ cuối cùng (và quan trọng nhất) trước hiểm họa DDoS. Trên bình diện lập trình web, tôi không thể đi sâu được bởi vì tôi không biết trang web bồ có cái gì.

Good luck.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Flood Apache Webserver.	14/02/2008 19:57:44 (+0700) \| #103 \| 114665

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hì hục hì hục . 6g rồi . Em mới mò ra . Hu hu hu . Trước giờ dùng cái mod_security 2.1.4 và 2.1.5 download từ http://www.apachelounge.com/. Củ chuối thật . làm y chang như trong file readme mà nó ko work .

Dù đã loadmodules đủ hết , nhưng
<IfModule mod_security2.c>
</IfModule>

thì ghi bùa ghi phèo gì bậy bạ trong đó nó cũng chạy vô tư , chả có sao cả smilie

. Làm include cái file .conf vào config mãi mà không thấy gì . Log mod_security cũng chả thấy đâu . Đến giờ mới mò được trang /www.gknw.net , vào down bản 2.1.1 về mà xài ( ko ham bản mới nữa ) thì rất good. Đang config lại . Quả là sai lầm . Hic . Làm báo comale quá , quả thật có lỗi .

//Chỉnh :

Ối trời . Cái SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400" phải dùng cho mod_security ver 1.xx . Vừa down và setup lại cái mod này bản 1.9 smilie

. Cho mình hỏi với cấu trúc là SecFilterSelective thì cho mod_security ver 2 là gì vậy ? Mình có thử SecRule mà nó báo lỗi , ứ chịu . Và tình hình là cái file log audit_log của mình nó ... tăng khá nhanh smilie

[Question] Re: Flood Apache Webserver.	14/02/2008 20:45:12 (+0700) \| #104 \| 114666

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

levinthan wrote:

Hì hục hì hục . 6g rồi . Em mới mò ra . Hu hu hu . Trước giờ dùng cái mod_security 2.1.4 và 2.1.5 download từ http://www.apachelounge.com/. Củ chuối thật . làm y chang như trong file readme mà nó ko work .

Dù đã loadmodules đủ hết , nhưng
<IfModule mod_security2.c>
</IfModule>

thì ghi bùa ghi phèo gì bậy bạ trong đó nó cũng chạy vô tư , chả có sao cả . Làm include cái file .conf vào config mãi mà không thấy gì . Log mod_security cũng chả thấy đâu . Đến giờ mới mò được trang /www.gknw.net , vào down bản 2.1.1 về mà xài ( ko ham bản mới nữa ) thì rất good. Đang config lại . Quả là sai lầm . Hic . Làm báo comale quá , quả thật có lỗi .

//Chỉnh :

Ối trời . Cái SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400" phải dùng cho mod_security ver 1.xx . Vừa down và setup lại cái mod này bản 1.9 . Cho mình hỏi với cấu trúc là SecFilterSelective thì cho mod_security ver 2 là gì vậy ? Mình có thử SecRule mà nó báo lỗi , ứ chịu . Và tình hình là cái file log audit_log của mình nó ... tăng khá nhanh

Đưa cái config mới nhất có dính mod_security lên xem?

What bringing us together is stronger than what pulling us apart.

[Question] Re: Flood Apache Webserver.	14/02/2008 20:55:05 (+0700) \| #105 \| 114667

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterForceByteRange 32 126
SecAuditEngine RelevantOnly
SecAuditLog logs/audit_log
SecFilterDebugLog logs/modsec_debug_log
SecFilterDebugLevel 0
# SecFilterScanPOST On
SecFilterDefaultAction "deny,log,status:403"
# chongxflash
SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400"
SecFilter /etc/passwd
SecFilter "\.\./"
SecFilter "<[[:space:]]*script"
SecFilter "<(.|\n)+>"
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"
SecFilterSelective "HTTP_CONTENT_TYPE" multipart/form-data

Nãy mình không đế ý , set SecFilterScanPOST On, thành ra nó chận POST hết , players login vào account control panel nó chận sạch smilie

nên log audit tăng ào ào .

Hiện tại mình đã di dời tất cả các IMG và SWF lên host của servage.net , Web chỉ còn text , script , php , htm . Với mod security như trên và dời img , swf đi thì chắc hắn sẽ không đánh vào flash nữa . Mà là request này nọ ( mình nghĩ vậy ) . Để sáng nay theo dõi thử 1 cái nữa xem sao . Xem xem hắn sẽ đánh vào đâu . Nếu vẫn bị thì mình sẽ sniff lại 1 cái rồi gửi cho comale xem lại nhé . Cảm ơn rất nhiều . Không có comale giúp chắc giờ đập đầu vào màn hình mất thôi.

[Question] Re: Flood Apache Webserver.	14/02/2008 21:08:07 (+0700) \| #106 \| 114668

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

levinthan wrote:

SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterForceByteRange 32 126
SecAuditEngine RelevantOnly
SecAuditLog logs/audit_log
SecFilterDebugLog logs/modsec_debug_log
SecFilterDebugLevel 0
# SecFilterScanPOST On
SecFilterDefaultAction "deny,log,status:403"
# chongxflash
SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400"
SecFilter /etc/passwd
SecFilter "\.\./"
SecFilter "<[[:space:]]*script"
SecFilter "<(.|\n)+>"
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"
SecFilterSelective "HTTP_CONTENT_TYPE" multipart/form-data

Nãy mình không đế ý , set SecFilterScanPOST On, thành ra nó chận POST hết , players login vào account control panel nó chận sạch nên log audit tăng ào ào .

Hiện tại mình đã di dời tất cả các IMG và SWF lên host của servage.net , Web chỉ còn text , script , php , htm . Với mod security như trên và dời img , swf đi thì chắc hắn sẽ không đánh vào flash nữa . Mà là request này nọ ( mình nghĩ vậy ) . Để sáng nay theo dõi thử 1 cái nữa xem sao . Xem xem hắn sẽ đánh vào đâu . Nếu vẫn bị thì mình sẽ sniff lại 1 cái rồi gửi cho comale xem lại nhé . Cảm ơn rất nhiều . Không có comale giúp chắc giờ đập đầu vào màn hình mất thôi.

Vậy bồ dùng mod_security version 2? hay 1.9? Nếu bồ dùng 1.9 thì đoạn rule ở trên phải OK. Nếu bồ dùng version 2 thì phải viết lại. mod_security 2 không dùng Directive SecFilter nữa mà nó dùng SecRule. Tham khảo thêm ở:
http://www.modsecurity.org/documentation/modsecurity-apache/2.1.5/modsecurity2-apache-reference.html

Ví dụ đoạn:
SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400"

phải thay đổi thành:
SecRule REQUEST_HEADERS_NAMES "x-flash-version" "deny,status:400"

Những phần khác phải đổi hết thì mới chạy được.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Flood Apache Webserver.	14/02/2008 21:15:53 (+0700) \| #107 \| 114669

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hi . Mò mãi mà không thấy REQUEST_HEADERS_NAMES. Tức là mình đã chạy bản 2. mà dùng câu Directive SecFilter nên nó không hiểu , đành quay về 1.9 vì không tìm được câu SecRule đó . ( Mò 30' ko ra smilie

. Đúng gà thật ) Giờ thì quay lại 2.1.1 .

[Question] Re: Flood Apache Webserver.	14/02/2008 21:45:25 (+0700) \| #108 \| 114670

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Có gì bất bình thường với đoạn log sau:

99.231.220.166 - - [13/Feb/2008:13:22:20 +0700] "GET /tamu/main.php?op=downloads HTTP/1.1" 200 28079 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:27 +0700] "GET /tamu/images/nzMenuSet.js HTTP/1.1" 200 11558 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:27 +0700] "GET /tamu/includes/helptip.js HTTP/1.1" 200 9303 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:28 +0700] "GET /tamu/images/global.css HTTP/1.1" 200 15618 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:29 +0700] "GET /tamu/images/bg.gif HTTP/1.1" 200 54 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:29 +0700] "GET /tamu/images/blank.gif HTTP/1.1" 200 43 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:29 +0700] "GET /tamu/images/pds.css HTTP/1.1" 200 7287 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:30 +0700] "GET /tamu/images/bodyTop.gif HTTP/1.1" 200 1257 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:30 +0700] "GET /tamu/images/top.jpg HTTP/1.1" 200 70734 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:31 +0700] "GET /tamu/images/Revolution-title.jpg HTTP/1.1" 200 30229 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:32 +0700] "GET /tamu/images/left.jpg HTTP/1.1" 200 3424 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:33 +0700] "GET /tamu/images/menu01off.gif HTTP/1.1" 200 1175 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:33 +0700] "GET /tamu/images/menu02off.gif HTTP/1.1" 200 1239 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:33 +0700] "GET /tamu/images/menu03off.gif HTTP/1.1" 200 2877 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:34 +0700] "GET /tamu/images/menu05off.gif HTTP/1.1" 200 2746 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:34 +0700] "GET /tamu/images/menu07off.gif HTTP/1.1" 200 2683 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:35 +0700] "GET /tamu/images/060705a.gif HTTP/1.1" 200 8609 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:35 +0700] "GET /tamu/images/bottom.gif HTTP/1.1" 200 473 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:35 +0700] "GET /tamu/images/pdsGallery.gif HTTP/1.1" 200 2314 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:36 +0700] "GET /tamu/images/bodyBg.gif HTTP/1.1" 200 68 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:36 +0700] "GET /tamu/images/titlePic1.gif HTTP/1.1" 200 2878 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:37 +0700] "GET /tamu/images/bullet1.gif HTTP/1.1" 200 280 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:37 +0700] "GET /tamu/images/lineMapBg.gif HTTP/1.1" 200 282 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:37 +0700] "GET /tamu/images/lineMapBox1.gif HTTP/1.1" 200 1491 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:37 +0700] "GET /tamu/images/lineMapBox2.gif HTTP/1.1" 200 1427 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:38 +0700] "GET /tamu/images/lbg.gif HTTP/1.1" 200 4962 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:38 +0700] "GET /tamu/images/titlePic2.gif HTTP/1.1" 200 366 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:39 +0700] "GET /tamu/images/0.gif HTTP/1.1" 200 43 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:39 +0700] "GET /tamu/images/box_list_top.gif HTTP/1.1" 200 1995 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:39 +0700] "GET /tamu/images/num01.gif HTTP/1.1" 200 409 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:39 +0700] "GET /tamu/images/num02.gif HTTP/1.1" 200 426 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:40 +0700] "GET /tamu/images/box_list_lft.gif HTTP/1.1" 200 64 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:40 +0700] "GET /tamu/images/help.gif HTTP/1.1" 200 540 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:41 +0700] "GET /tamu/images/box_list_btm.gif HTTP/1.1" 200 2045 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:41 +0700] "GET /tamu/images/box_list_rht.gif HTTP/1.1" 200 73 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:41 +0700] "GET /tamu/images/num03.gif HTTP/1.1" 200 423 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:41 +0700] "GET /tamu/images/pic1.jpg HTTP/1.1" 200 1491 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:42 +0700] "GET /tamu/images/bottomBg1.gif HTTP/1.1" 200 35469 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:42 +0700] "GET /tamu/images/btnPrivacy.png HTTP/1.1" 200 4085 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"
99.231.220.166 - - [13/Feb/2008:13:22:42 +0700] "GET /tamu/images/pic2.jpg HTTP/1.1" 200 1484 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"

Ngoài ra, bồ xem lại phần logging directive của apache vì bồ log mỗi entry 2 lần đó.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Flood Apache Webserver.	15/02/2008 01:42:58 (+0700) \| #109 \| 114723

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Ngoài ra, bồ xem lại phần logging directive của apache vì bồ log mỗi entry 2 lần đó.

Cảm ơn / Mình đã sửa lại rồi . Sáng nay ngủ dậy lại thấy bị đánh tè le . Hic . Lúc đó đang ngủ nên không sniff được. Để tí nữa nó flood , mình sniff lại xem sao . Đã thử gỡ các flash xuống mà vẫn bị.

[Question] Re: Flood Apache Webserver.	15/02/2008 03:07:35 (+0700) \| #110 \| 114727

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Hic . Sáng nay vẫn bị đánh . comale xem giúp mình xem nó lại đánh vào đâu nhé. Không hiểu được là tại sao gỡ img và swf xuống hết mà vẫn bị.
http://stukyo.com/140208.rar

[Question] Re: Flood Apache Webserver.	15/02/2008 18:02:22 (+0700) \| #111 \| 114809

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

levinthan wrote:

Hic . Sáng nay vẫn bị đánh . comale xem giúp mình xem nó lại đánh vào đâu nhé. Không hiểu được là tại sao gỡ img và swf xuống hết mà vẫn bị.
http://stukyo.com/140208.rar

Vẫn vậy thôi. Đừng loay hoay với mấy cái này nữa. Nên đọc kỹ những gì tôi đề nghị và làm cho đến nơi, đến chốn rồi tính tiếp.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Flood Apache Webserver.	16/02/2008 01:55:26 (+0700) \| #112 \| 114849

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Rất cảm ơn comale đã giúp đỡ . Hôm qua mình có up các IMG và SWF lên host khác , đổi source link các IMG và SWF trong mọi trang index về host mới này nhưng vẫn bị đánh dù mod security đã được thiết lập. Tối qua thì mình đã xóa hẳn các IMG và SWF tại htdocs luôn nên mọi image đều phải load từ host servage xuống , và đến trưa nay ( đáng ra là đã bị đánh rầm rầm ) thì vẫn ok. Không biết là đã ổn , hay tạm ổn , hay là " ổng " bận gì, quên gì nên ... Dù gì thì có một buổi sáng dậy mà thấy server bình yên là mừng lắm . Tạm thời là vậy . Rất cảm ơn comale trong những ngày vừa qua . Hiện mình sẽ theo dõi tiếp . Nhưng nếu lại bị nữa thì đành phải nhờ comale tiếp tục phân tích nữa quá . Hì .

[Question] Re: Flood Apache Webserver.	19/02/2008 17:42:18 (+0700) \| #113 \| 115446

levinthan
Member

Joined: 16/01/2008 22:38:43
Messages: 78
Offline

Cả ngày hôm nay bị đánh bầm mình luôn . Từ sáng đến tối . Dù các flash đã được xóa . Các IMG đều được load từ host khác . Buồn thay . Sáng mai mình sẽ canh và sniff lại xem xem lần này là bị đánh vào đâu nữa .

[Question] Re: Flood Apache Webserver.	19/02/2008 17:49:20 (+0700) \| #114 \| 115447

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

levinthan wrote:

Cả ngày hôm nay bị đánh bầm mình luôn . Từ sáng đến tối . Dù các flash đã được xóa . Các IMG đều được load từ host khác . Buồn thay . Sáng mai mình sẽ canh và sniff lại xem xem lần này là bị đánh vào đâu nữa .

Chừng nào bồ còn dùng ADSL hạn chế như thế và chạy apache trên Windows, chừng ấy bồ còn "bầm mình" dài dài.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Flood Apache Webserver.	20/02/2008 01:41:13 (+0700) \| #115 \| 115510

pnco
HVA Friend

Joined: 24/06/2005 16:33:48
Messages: 515
Offline

Tôi thấy với chi phí để duy trì service (tiền điện + tiền đường dây) của bạn như hiện tại thì bạn nên nghĩ đến giải pháp thuê chỗ ở datacenter, chỉ khoảng 4,5 triệu/tháng cho server 2U nhưng bandwith 100Mbps lớn hơn rất nhiều so với dùng ADSL. Lưu ý là tuy đối với gói cước Pro (4096Kbps/640Kbps) nhưng khi bạn open service thì quan trọng là đường upload.

Vài góp ý.

[Question] Flood Apache Webserver.	14/04/2012 12:05:43 (+0700) \| #116 \| 261375

TheShinichi
Member

Joined: 25/03/2005 01:40:31
Messages: 182
Offline

Theo kí sự này thấy thích quá ! Học được một số kiến thức bổ ích.

Có điều không hiểu ở chỗ hồi đó web MU có bản viết bằng ASP 3.0 chạy trên IIS mà bạn này không dùng lại dùng PHP. Giả sử bạn này dùng IIS thì chuyện gì sẽ xảy ra ? Mình tò mò chỗ này.

Có điều sao đến đây là dứt. Không biết kết quả đoạn cuối ra sao ?

P/s: Xin lỗi vì khảo cổ smilie

Go to:

Users currently in here
1 Anonymous