banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Cần mọi người giúp - Server đang bị Ddos  XML
  [Question]   Cần mọi người giúp - Server đang bị Ddos 25/08/2012 12:40:06 (+0700) | #1 | 268741
Diệp Hoàng Trúc Mai
Member

[Minus]    0    [Plus]
Joined: 22/05/2012 23:49:12
Messages: 9
Offline
[Profile] [PM]
Chào tất cả mọi người HVA.
Cảm ơn mọi người đã ghé qua bài viết của cháu .

Cháu có làm 1 website và đầu tư 1 con vps linux để làm server, mặc dù cấu hình không cao.
Hôm qua vào web thấy có dấu hiệu bị Ddos nên cháu đã thử Log vào server và thấy IP tấn công nên đã block nó lại .
Tưởng sẽ yên ổn nhưng hôm nay website lại bị Ddos dạng proxies với rất nhiều IP, mặc dù connect từ mỗi IP là rất nhỏ .
Cháu dùng lệnh này : netstat -an|grep :80 |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rn
thì được kết quả :

Code:
1 189.83.242.216
1 189.82.154.152
1 189.74.21.84
1 189.74.21.182
1 189.4.250.158
1 189.24.116.192
1 189.201.243.194
1 189.113.64.122
1 189.105.17.177
1 188.165.249.205
1 187.84.240.162
1 187.5.248.219
1 187.20.197.177
1 187.125.147.178
1 187.115.52.40
1 187.111.223.10
1 186.42.212.234
1 182.253.17.130
1 180.247.119.9
1 180.245.254.56
1 180.245.246.239
1 180.244.26.185
1 180.242.94.48
1 180.186.36.71
1 177.85.233.200
1 177.36.243.7
1 177.19.248.207
1 177.19.230.1
1 177.19.142.210
1 177.107.178.10
1 177.103.218.184
1 177.103.197.158
1 174.139.169.202
1 164.177.146.236
1 162.105.13.80
1 162.105.13.104
1 125.19.212.253
1 124.205.178.62
1 123.85.178.21
1 123.131.133.62
1 122.72.80.101
1 122.72.124.44
1 122.72.112.148
1 122.113.28.52
1 119.18.145.69
1 118.98.171.19
1 118.97.39.115
1 118.97.27.249
1 118.97.15.228
1 118.96.121.17
1 115.72.87.220
1 112.25.12.39
1 110.139.200.150
1 109.205.117.228
1 109.123.126.253
1 109.0.145.96
 1 121.22.19.210
 1 121.204.0.2
 1 121.101.211.31
 1 120.128.6.214
 1 119.92.244.146
 1 119.62.72.202
 1 119.46.90.28
 1 119.233.248.5
 1 119.147.23.192
 1 119.131.168.118
 1 119.110.66.163
 1 118.99.76.241
 1 118.99.67.34
 1 118.98.75.50
 1 118.98.35.251
 1 118.97.75.226
 1 118.97.44.154
 1 118.97.217.67
 1 118.97.16.106
 1 118.96.62.147
 1 118.96.151.221
 1 118.96.127.10
 1 118.172.105.49
 1 118.137.29.251
 1 116.112.66.102
 1 115.72.87.220
 1 115.201.15.223
 1 114.247.0.85
 1 114.110.42.206
 1 114.110.21.14
 1 113.98.193.138
 1 113.172.95.102
 1 113.168.174.214
 1 113.106.99.209
 1 113.106.99.204
 1 113.106.48.103
 1 112.25.12.39
 1 112.25.12.38
 1 112.25.12.37
 1 111.67.71.21
 1 111.235.66.164
 1 111.221.40.229
 1 110.77.251.35
 1 110.77.238.149
 1 110.77.234.246
 1 110.74.199.22
 1 110.139.56.143
 1 110.138.237.102
 1 110.136.167.104
 1 109.205.117.228
 1 109.123.126.253
 1 109.111.182.202
 1 103.28.141.71
 1 103.22.248.99
 1 119.252.165.27
 1 119.18.145.69
 1 119.145.145.200
 1 119.110.66.163
 1 118.98.73.118
 1 118.97.75.226
 1 118.97.39.115
 1 118.97.234.162
 1 118.97.174.218
 1 118.96.31.91
 1 118.96.153.181
 1 118.144.88.203
 1 117.102.34.99
 1 117.102.19.45
 1 116.93.12.104
 1 116.228.107.82
 1 116.226.78.62
 1 115.31.187.179
 1 115.178.127.125
 1 115.124.75.101
 1 114.80.240.6
 1 114.247.0.85
 1 114.143.12.28
 1 114.129.27.66
 1 114.110.42.206
 1 114.110.21.14
 1 113.98.193.138
 1 113.53.248.146
 1 113.168.233.36
 1 113.168.174.214
 1 113.140.74.26
 1 113.105.151.241
 1 112.25.12.36
 1 112.223.15.34
 1 111.67.71.21
 1 111.221.40.229
 1 110.77.250.25
 1 110.77.238.245
 1 110.77.204.191
 1 110.45.139.35
 1 110.139.206.123
 1 110.139.200.190
 1 110.139.183.159
 1 110.139.13.121
 1 110.138.25.171
 1 110.138.245.95
 1 110.136.177.143
 1 110.136.167.104
 1 109.87.251.47
 1 109.61.82.156
 1 109.171.61.197
 1 109.111.182.202
 1 107.23.40.151
 1 107.20.64.7
 1 106.3.63.6
 1 103.10.121.195
 1 101.255.44.186


Còn rất nhiều IP nữa nhưng nó không hiện lên hết trên cmd.
Nếu không tắt service httpd thì chỉ đc 1 lát là server die. Vậy mong mọi người trên HVA có cách nào giúp cháu đưa ra hướng giải quyết với ạ.

Cháu xin cảm ơn.
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 25/08/2012 17:39:36 (+0700) | #2 | 268748
Diệp Hoàng Trúc Mai
Member

[Minus]    0    [Plus]
Joined: 22/05/2012 23:49:12
Messages: 9
Offline
[Profile] [PM]
Hix, sao không ai giúp cháu với ạ.
Server đang bị ddos nặng nề .
Nếu không có cách gì thì có thể giúp cháu 1 đoạn code có thể block tất cả các IP trong list file txt chẳng hạn.
Cháu đã tìm nhiều code trên mạng nhưng khi chạy đều bị lỗi.
Khẩn thiết.
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 26/08/2012 08:05:44 (+0700) | #3 | 268769
[Avatar]
sasser01052004
Member

[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
send to yahoo ban qua inbox nhe, sr admin, em online bang dien thoai.
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 26/08/2012 13:48:22 (+0700) | #4 | 268779
[Avatar]
anonymousvn
Member

[Minus]    0    [Plus]
Joined: 08/06/2012 14:28:12
Messages: 34
Offline
[Profile] [PM]
Bạn có điều kiện thì nâng cấp host lên smilie
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 27/08/2012 09:44:04 (+0700) | #5 | 268803
Diệp Hoàng Trúc Mai
Member

[Minus]    0    [Plus]
Joined: 22/05/2012 23:49:12
Messages: 9
Offline
[Profile] [PM]

sasser01052004 wrote:
send to yahoo ban qua inbox nhe, sr admin, em online bang dien thoai. 


Đã send, mong anh giúp đỡ .

anonymousvn wrote:
Bạn có điều kiện thì nâng cấp host lên smilie 


Em đã trình bày ở trên, em dùng VPS anh ạ.
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 27/08/2012 09:51:53 (+0700) | #6 | 268804
Max87
Member

[Minus]    0    [Plus]
Joined: 26/08/2012 20:20:24
Messages: 4
Offline
[Profile] [PM]
Nhân thể có bạn này cũng bị giống mình,mình xin trình bầy tại đây

Diễn đàn mình bị tấn công ddos ( botnet ) gần 1 tuần nay rồi,
Xem log thì có hằng trăm IP tấn công vào diễn đàn ( Link tấn công thay đổi liên tục theo ngày --> có người can thiệp vào vào tools đó hàng ngày và có chủ định.

Mình đã cài pass bảo vệ thư mục khi vào web phải nhập User/Pass thì diễn đàn vào bt nhưng khá bất tiện và là cách cuối cùng.

Xin hỏi cách hạn chế việc ddos này như thế nào?

Đây là file log 1 trong những ngày bị tấn công
https://www.box.com/s/e9880de0ca7960f8c40b

Mình có tài khoản root của server
Server linux centos6
Diễn đàn mình là : forum.ketqua666.vn

Các Mod chống ddos mình đều thử và hầu như là ko có hiệu quả.
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 28/08/2012 10:47:27 (+0700) | #7 | 268839
[Avatar]
vnsec_net
Member

[Minus]    0    [Plus]
Joined: 16/08/2012 03:10:58
Messages: 32
Location: VNSEC.NET
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]

Max87 wrote:
Nhân thể có bạn này cũng bị giống mình,mình xin trình bầy tại đây

Diễn đàn mình bị tấn công ddos ( botnet ) gần 1 tuần nay rồi,
Xem log thì có hằng trăm IP tấn công vào diễn đàn ( Link tấn công thay đổi liên tục theo ngày --> có người can thiệp vào vào tools đó hàng ngày và có chủ định.

Mình đã cài pass bảo vệ thư mục khi vào web phải nhập User/Pass thì diễn đàn vào bt nhưng khá bất tiện và là cách cuối cùng.

Xin hỏi cách hạn chế việc ddos này như thế nào?

Đây là file log 1 trong những ngày bị tấn công
https://www.box.com/s/e9880de0ca7960f8c40b

Mình có tài khoản root của server
Server linux centos6
Diễn đàn mình là : forum.ketqua666.vn

Các Mod chống ddos mình đều thử và hầu như là ko có hiệu quả.
 


Mình đã xem qua log, có vài cái rút ra:

1. User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) chiếm gần 90%.
2. Request vào /tin-tuc-139/ chiếm gần 90%
3. Những user-agent trên request vào /tin-tuc-139/ chiếm 99.99%.

Chặn dựa vào user-agent và request URI. Chi tiết pm tớ nha: support@vnsec.net (không tính phí đâu)

@Chủ thread: gửi log vào support@vnsec.net cho mình nha, bên mình sẽ cho đội xử lý giúp bạn.
--
http://www.vnsec.net - Cập nhật tự động danh sách website bị hack!
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 28/08/2012 12:39:58 (+0700) | #8 | 268840
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

Max87 wrote:
Nhân thể có bạn này cũng bị giống mình,mình xin trình bầy tại đây

Diễn đàn mình bị tấn công ddos ( botnet ) gần 1 tuần nay rồi,
Xem log thì có hằng trăm IP tấn công vào diễn đàn ( Link tấn công thay đổi liên tục theo ngày --> có người can thiệp vào vào tools đó hàng ngày và có chủ định.

Mình đã cài pass bảo vệ thư mục khi vào web phải nhập User/Pass thì diễn đàn vào bt nhưng khá bất tiện và là cách cuối cùng.

Xin hỏi cách hạn chế việc ddos này như thế nào?

Đây là file log 1 trong những ngày bị tấn công
https://www.box.com/s/e9880de0ca7960f8c40b

Mình có tài khoản root của server
Server linux centos6
Diễn đàn mình là : forum.ketqua666.vn

Các Mod chống ddos mình đều thử và hầu như là ko có hiệu quả.
 

=> Nếu như bạn mô tả thì chỉ cần dùng Mod_security là đủ
=> Bạn đã từng thử những Mod nào? rule ra sao mà không hiệu quả
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 28/08/2012 15:19:12 (+0700) | #9 | 268843
Max87
Member

[Minus]    0    [Plus]
Joined: 26/08/2012 20:20:24
Messages: 4
Offline
[Profile] [PM]

Ky0 wrote:

=> Nếu như bạn mô tả thì chỉ cần dùng Mod_security là đủ
=> Bạn đã từng thử những Mod nào? rule ra sao mà không hiệu quả
 


mình cài mod này.
http://www.inetbase.com/scripts/ddos/install.sh
Trong code VBB cũng tích hợp khác nhiều mod chống nhưng cũng ko được.

vnsec_net wrote:

Mình đã xem qua log, có vài cái rút ra:

1. User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) chiếm gần 90%.
2. Request vào /tin-tuc-139/ chiếm gần 90%
3. Những user-agent trên request vào /tin-tuc-139/ chiếm 99.99%.

Chặn dựa vào user-agent và request URI. Chi tiết pm tớ nha: support@vnsec.net (không tính phí đâu)

@Chủ thread: gửi log vào support@vnsec.net cho mình nha, bên mình sẽ cho đội xử lý giúp bạn.  


Mình đã gửi email cho bạn,mong bạn hướng dẫn cụ thể.
Nếu thành công mình sẽ review lên để ai bị như mình còn có cách khắc phục.
Cảm ơn bạn
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 28/08/2012 16:04:55 (+0700) | #10 | 268844
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

Max87 wrote:

Ky0 wrote:

=> Nếu như bạn mô tả thì chỉ cần dùng Mod_security là đủ
=> Bạn đã từng thử những Mod nào? rule ra sao mà không hiệu quả
 


mình cài mod này.
http://www.inetbase.com/scripts/ddos/install.sh
Trong code VBB cũng tích hợp khác nhiều mod chống nhưng cũng ko được.

 

Đừng bao giờ đặt niềm tin vào sự bảo vệ của mấy cái cái thứ như trên.

Trường hợp của bạn thì nên:
- Gỡ bỏ mấy cái mod trên ra
- Cài đặt Mod Security cho apache
- Dựa trên các thông tin từ log và hình thành rule tương ứng để áp dụng cho Mod_Security (tham khảo phân tích của vnsec_net trong bài trên)
Tham khảo về Mod_Security tại /hvaonline/posts/list/38687.html

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 28/08/2012 18:59:32 (+0700) | #11 | 268854
Diệp Hoàng Trúc Mai
Member

[Minus]    0    [Plus]
Joined: 22/05/2012 23:49:12
Messages: 9
Offline
[Profile] [PM]

vnsec_net wrote:

Max87 wrote:
Nhân thể có bạn này cũng bị giống mình,mình xin trình bầy tại đây

Diễn đàn mình bị tấn công ddos ( botnet ) gần 1 tuần nay rồi,
Xem log thì có hằng trăm IP tấn công vào diễn đàn ( Link tấn công thay đổi liên tục theo ngày --> có người can thiệp vào vào tools đó hàng ngày và có chủ định.

Mình đã cài pass bảo vệ thư mục khi vào web phải nhập User/Pass thì diễn đàn vào bt nhưng khá bất tiện và là cách cuối cùng.

Xin hỏi cách hạn chế việc ddos này như thế nào?

Đây là file log 1 trong những ngày bị tấn công
https://www.box.com/s/e9880de0ca7960f8c40b

Mình có tài khoản root của server
Server linux centos6
Diễn đàn mình là : forum.ketqua666.vn

Các Mod chống ddos mình đều thử và hầu như là ko có hiệu quả.
 


Mình đã xem qua log, có vài cái rút ra:

1. User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) chiếm gần 90%.
2. Request vào /tin-tuc-139/ chiếm gần 90%
3. Những user-agent trên request vào /tin-tuc-139/ chiếm 99.99%.

Chặn dựa vào user-agent và request URI. Chi tiết pm tớ nha: support@vnsec.net (không tính phí đâu)

@Chủ thread: gửi log vào support@vnsec.net cho mình nha, bên mình sẽ cho đội xử lý giúp bạn.  


Đã gủi Email. Hy vọng được anh giúp đỡ .
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 28/08/2012 19:59:57 (+0700) | #12 | 268859
[Avatar]
sasser01052004
Member

[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
Bạn vnsec đưa ra hướng đúng đó bạn
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 01/09/2012 15:32:47 (+0700) | #13 | 268955
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Chẹp ! em vào thì thấy có cái list IP thế, em lấy mấy cái IP thảy lên http://geoiptool.com
Em thấy mấy cái cờ lạ lạ không phải ở Việt Nam.

Mấy bạn chỉ phục vụ cho nhu cầu ở Việt Nam chắc cũng không muốn phục vụ mấy bạn cờ lạ này đâu. Vậy sao mấy bạn không tạm thời chặn request do mấy cái "cờ" lạ này nhỉ ?. Hôm bửa em lên thấy bạn xin list IP của Việt Nam rồi đấy. Anh conmale cũng cho rồi.
while(1){}
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 02/09/2012 08:19:59 (+0700) | #14 | 268975
ilovelife
Member

[Minus]    0    [Plus]
Joined: 19/07/2012 19:42:03
Messages: 17
Offline
[Profile] [PM]
Khắc phục tạm thời: Dùng CloudFlare cho website
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 02/09/2012 10:18:18 (+0700) | #15 | 268978
[Avatar]
sasser01052004
Member

[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]

chiro8x wrote:
Chẹp ! em vào thì thấy có cái list IP thế, em lấy mấy cái IP thảy lên http://geoiptool.com
Em thấy mấy cái cờ lạ lạ không phải ở Việt Nam.

Mấy bạn chỉ phục vụ cho nhu cầu ở Việt Nam chắc cũng không muốn phục vụ mấy bạn cờ lạ này đâu. Vậy sao mấy bạn không tạm thời chặn request do mấy cái "cờ" lạ này nhỉ ?. Hôm bửa em lên thấy bạn xin list IP của Việt Nam rồi đấy. Anh conmale cũng cho rồi. 


Tớ không nghĩ thế, chiro có nghĩ đến trường hợp người dùng sử dụng proxies hay sock nước ngoài để lướt web chưa?

Với lại tớ thấy tinh thần HVA là không chặn 1 cách vô lý (kể cả những nhóm người dùng ít sử dụng) mà chỉ chặn những gói tin mang tính chất bất hợp lệ về tính chất ...

Đó là 1 vài ngu ý của tớ, nếu sai maong các bạn góp ý thêm
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Cần mọi người giúp - Server đang bị Ddos 04/09/2012 08:42:02 (+0700) | #16 | 269012
Diệp Hoàng Trúc Mai
Member

[Minus]    0    [Plus]
Joined: 22/05/2012 23:49:12
Messages: 9
Offline
[Profile] [PM]
Cháu có 1 đoạn Log ddos như thế này

Code:
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:01 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:02 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:03 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:03 +0900] "GET /forum/ HTTP/1.0" 403 1579
113.172.80.122 - - [28/Aug/2012:16:39:03 +0900] "GET /forum/ HTTP/1.0" 403 1579


Đó là cháu trích dẫn ví dụ từ 1 IP, thực tế thì có rất nhiều IP ddos và bị chặn khiến appache trả về kết quả 403 đó. Vậy cho cháu hỏi có cách nào để chặn hẳn những IP có cùng dạng như thế ( cùng phương thức truyền tải yêu cầu, phương thức của request, kết quả trả về và kích thước của gói tin trả về ) không ạ .

Như ở đây là cháu muốn chặn hẳn request dạng này :
GET /forum/ HTTP/1.0" 403 1579 
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|