SecRuleEngine On SecFilter xp_enumdsn SecFilter xp_filelist SecFilter xp_availablemedia SecFilter xp_cmdshell SecFilter xp_regread SecFilter xp_regwrite SecFilter xp_regdeletekey SecFilterSelective "ARG_recipient" "!@modsecurity\.org$" SecFilterSelective "ARG_recipient" "!@modsecurity\.org$" SecFilterSelective OUTPUT "Volume Serial Number" SecFilterSelective OUTPUT "Command completed" SecFilterSelective OUTPUT "Bad command or filename" SecFilterSelective OUTPUT "file(s) copied" SecFilterSelective OUTPUT "Index of /cgi-bin/" SecFilterSelective OUTPUT ".*uid\=\(" SecAuditLog logs/audit.log SecFilterDebugLog logs/modsec.log SecFilterDebugLevel 1 SecFilterScanPOST On SecFilter /etc/password SecFilter /bin/ls SecFilter "\.\./" SecFilterForceByteRange 32 126  

Dùng một công cụ để lọc ra hết các request đi từ IP: 203.210.251.123 rồi xem kỹ thì sẽ thấy các điểm đáng ngờ. Tôi không thể login bằng username + pass bạn gởi nên không thể xác định các modules được dùng sâu hơn. PS: bây giờ đi nhậu một phát cái đã. Có thể ngày mai online lại. 

Mình tính dùng cái này apply vào web :http://www.white-hat-web-design.co.uk/articles/php-captcha.php . Mọi người cho ý kiến thử xem  

Vâng . Đúng là em config Apache không đầy đủ thật . Em đã nghiên cứu và config các giá trị MaxClients, MaxRequestsPerChild, MaxKeepAliveRequests và KeepAliveTimeout lại rồi nhưng vẫn bị . Nhưng việc em bị flood thì hoàn toàn là sự thật vì trước giờ không bị gì , gần đây bị ghét nên vậy . Và ban đêm hoặc ngay cả các giờ cao điểm , các giờ mà số lượng người truy cập vào đông cũng không bị tình trạng vậy . Nó xảy ra rất là ngẫu nhiên, vào các thời điểm không cố định , chứ không phải bị theo số người truy cập . Băng thông của em ít thật nhưng với lượng người truy cập chỉ là vài chục thì có đến tình trạng đó không. Em tìm đến HVA nhờ giúp đỡ cũng vì em bế tắc rồi . Anh nói vậy thì em đành chịu . Thôi thì cảm ơn anh đã nhiệt tình giúp đỡ em trong các bài vừa rồi . Chúc anh vui vẻ . 

# Server-pool management (MPM specific) #Include conf/extra/httpd-mpm.conf # Multi-language error messages #Include conf/extra/httpd-multilang-errordoc.conf # Fancy directory listings #Include conf/extra/httpd-autoindex.conf # Language settings #Include conf/extra/httpd-languages.conf # User home directories #Include conf/extra/httpd-userdir.conf # Real-time info on requests and configuration #Include conf/extra/httpd-info.conf # Virtual hosts #Include conf/extra/httpd-vhosts.conf # Local access to the Apache HTTP Server Manual #Include conf/extra/httpd-manual.conf # Distributed authoring and versioning (WebDAV) #Include conf/extra/httpd-dav.conf # Various default settings #Include conf/extra/httpd-default.conf 

Cảm ơn bạn đã góp ý . Mình cũng nghe nói là Linux bảo mật tốt hơn nhưng mình không biết dùng Linux và các chương trình của mình dùng để chạy server game không hỗ trợ Linux :(. Các bạn cho mình hỏi . Mình có đọc nhiều tài liệu . Nhưng không hiểu tại sao mình phải config virtual hosts. Mình đâu có nhu cầu dùng nhiều domain , nhiều host đâu. Còn về mpm cho apache . Mình có đọc và hiểu các thông số . Nhưng mình không tìm thấy nơi nào dùng để set cấu hình mpm. Mình thấy " Use "apachectl -l" to find out the active mpm". Nhưng trong bin lại không có apachectl . Mình chưa biết nên nhờ các bạn chỉ giúp . Cảm ơn. 

C:\> cd \xampp\apache\bin C:\> httpd.exe -l 

# WinNT MPM # ThreadsPerChild: constant number of worker threads in the server process # MaxRequestsPerChild: maximum number of requests a server process serves <IfModule mpm_winnt_module> ThreadsPerChild 250 MaxRequestsPerChild 0 </IfModule> 

# Server-pool management (MPM specific) Include conf/extra/httpd-mpm.conf  

Timeout 30 KeepAlive On MaxKeepAliveRequests 5 KeepAliveTimeout 15 Hiện tại mình đã config httpd-default như vậy. Load web có hơi lâu thật nhưng cũng đỡ vì bình thường nó flood lên đến ... vài ngàn recvq . nay chỉ vài chục là tự ngắt . 

Cảm ơn bạn đã chỉ dẫn . Về vấn đề có bị phá hay không thì mình là người hiểu rõ nhất . Mình chạy server này , game này , web này đã 2 năm rồi . Rất ổn định . Chỉ có gần đây mình block mấy cheater . Rồi bắt đầu bị tình trạng này . ISA thỉnh thoảng vẫn báo deny các truy cập , các port ko hợp lệ . Google các port này thì toàn là thông tin về ddos . Đã thế vừa bị được 2 ngày là đã nhận được email " Sao rồi hả bạn , mấy hôm nay thích không ? " Đau đầu là xem log apache , log isa cũng không biết request nào gây như vậy. Chỉ biết là tắt apache sv thì nó ngắt ngay, không làm gì được nữa. Mình biết là flood không nhiều , ít , nhưng những packet đó có tác dụng rất mạnh đến gameserver nên cũng ráng tìm , đọc kĩ các dòng mà vẫn không thấy . Mình nghĩ nếu bị mạnh thì apache service bị stop /restart hay modem tắt luôn ( cái này mình nghe nói ). Mình đang download ebook bạn chỉ . Hi vọng sẽ biết được nhiều điều .Rất cảm ơn! 

Apache chạy trên Windows chỉ có thể dùng Prefork MPM mà thôi. Bởi vậy, nên tham khảo sâu khoản này. 

Cho biết giữa 192.168.1.5 và 192.168.1.3 connect qua cơ chế nào? (ODBC?)  

$muweb['connection'] = 'mssql'; $muweb['localhost'] = '192.168.1.3''; $muweb['dbhost'] = '192.168.1.3'; $muweb['database'] = 'MuOnline'; $muweb['dbuser'] = 'sa'; $muweb['dbpassword'] = 'xxxxxxxx'; $db = &ADONewConnection('mssql'); $connect_mssql = $db->Connect($muweb['dbhost'],$muweb['dbuser'],$muweb['dbpassword'],$muweb['database']);  

Chứng tỏ network connection giữa 2 host này rất kém.  

Vẫn không có dấu hiệu apache bị flood. Tôi e rằng bồ bị flood ngay ở ADSL modem. 

Để khắc phục tình trạng này, bồ phải hạ MTU trên ADSL modem bớt (tôi không rõ bồ dùng ADSL modem nào nên không thể nói chi tiết hạ như thế nào) và chỉnh MTU trên Windows server có y hệt MTU trên ADSL modem. Nếu không, tình trạng này tiếp tục xảy ra và nếu kéo dài, tình trạng sẽ càng lúc tệ hại. Xin lưu ý rằng: việc điều chỉnh MTU trên Windows là việc không nên làm bởi vì nó khá nguy nên tôi không khuyến khích làm việc này.  

http://stukyo.com/b.swf  

Cảm ơn bạn đã quan tâm bài viết của mình . Mình sử dụng modem của Dlink . Đời 520 T . Mình rất đồng ý với ý kiến của PXMMRF đã đưa ra về trường hợp của mình , đặc biệt là đoạn cuối . Mình không biết phải nói sao . Đúng là về phía apache thì rất bình thường. Nhưng khi bị tấn công thì webserver của mình bị sụm lại , không ai vào được , kể cả localhost. Và Authentication Server của game báo có rất nhiều yêu cầu đang đợi xử lý (RecvQ- Receive Queue). Vâng . Thích thì anh ta flood khoảng 5 10 phút , để cho khoảng 50 % số người chơi văng ra còn buồn thì anh ta flood vài tiếng cho đến khi không còn ai online cả ( Nếu mình không stop service Apache ) và khi anh ta ngưng tấn công thì tất cả mọi thứ đều trở lại bình thường. Bình thường thì anh ta tấn công mọi lúc , đôi khi tối thứ 7 , chủ nhật hay ngày lễ thì anh ta tha cho , chắc là đi chơi với người yêu hay nhật nhẹt . Có điều mình đã tìm kiếm rất nhiều mà vẫn không biết khe hở đó bắt nguồn từ đâu mặc dù đã cố gắng dùng source web khác. Và mình cũng đã biết được , người flood server của mình lại lại một thành viên của HVA ONLINE. Trớ trêu. 

... Và mình cũng đã biết được , người flood server của mình lại lại một thành viên của HVA ONLINE. Trớ trêu. 

levinthan wrote:

... Và mình cũng đã biết được , người flood server của mình lại lại một thành viên của HVA ONLINE. Trớ trêu. 

Ặc, vào đây nhờ giúp đỡ đã đời xong kết luận một câu shock quá. #:S#:S#:S  

Dạ thưa . Đó là sự thật . Người chơi cheat tại game của mình có nick là lychailon . Có chat vài lần thì biết là hắn làm trong 1 tiệm net , hai mươi mấy tuổi , có kiến thức IT , và vài thông tin khác . Google lychailon thì không có nhiều kết quả lắm đâu :( Ổng đây : /hvaonline/posts/preList/10953/69853.html#69853,  

Bác PXMMRF phân tích cực kì chính xác . Hiện bác khó vào được trang http://ta1.myvnc.com vì mình liên tục bị flood , và hay tắt service nên bác bị timeout. Còn cái NO-IP . Cái này chỉ là DNS thôi . Khi đã qua nó rồi thì nó kết nối đến IP thật . Rất nhanh. Còn như ý của bác nói thì , hịc . Hồi trước em làm 1 line , người chơi đông gấp 2 lần giờ còn không vấn đề gì . Giờ còn có 1/2 players , mà 2 line , mà vẫn bị sập . Web ta1.myvnc.com public lên trianglemu.com nên ổng biết , ổng xem mà flood nên không ổn định . Đây là link web phụ đây : http://taw.myvnc.com/wb . Bác xem xem sao . ( mà giờ ổng đang đọc cũng ko biết chừng ) Đây cũng là Webserver appserv đặt trong LAN nhưng có default gateway khác với game. Không dám public cái link đó lên trianglemu.com luôn. Chỉ có vài chục người gamer quen biết . Họ vào địa chỉ đó chẳng bị gì cả.Em có 2 line ADSL , đã thử dùng 1 line chạy riêng cho Webserver , 1 line chạy riêng cho Game, nhưng khi line Web bị flood , vẫn ảnh hưởng đến Game vì web có kết nối MSSQL đến game trong mạng lan. Em tính đưa cái web lên host của servage cho nó host . chạy mssql connect tới mssql server của em . mà nó ko support MSSQL connect , chỉ có MYSQL thôi . So banana <= câu này lychailon nói trong vài trang web mà ổng học tiếng Anh. 

Phân tích lại 2 đoạn sniff của bồ, tôi thấy vài chi tiết quan trọng sau: ............................ - vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin. ....................................... - gần một ngàn response packets đi từ 192.168.1.3 đến 192.168.1.5. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên. Nếu website hoạt động bình thường và chỉ có 1 số lượng người nào đó truy cập thì ok. Tuy nhiên, nếu bị flood thì các response packets này sẽ gia tăng theo cấp số và mỗi lần như thế, apache phải tạo connection (socket) đến mssql --> cực kỳ trì trệ. Thân mến. 

giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa. 

- vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin.  

. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên. 

SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400"  

"Nó" nói "So banana" là ý nó nói hệ thống của bạn là "như củ chuối" phải không? Hì hì. Bạn nói lại với nó là "Cười người hôm trước, hôm sau người cười", là "Câu sao không lo cái tiệm net của cậu đi, cứ đi phá người khác"; "Cạnh tranh là phải nâng cao chất lượng phục vụ, chất lượng trang web, chứ đâu đi làm chuyện tầm bậy, hạ đẳng như vậy"; "Có giỏi thì thử tấn công vào HVA webserver xem sao?"...vân vân.  

Theo tôi bạn cứ duy trì như sắp xếp hiện nay của bạn. Nếu cần thì sử dụng MySQL của Webserver của công ty hosting. Tạm bố trí "trianglemu.com" có thể hoạt động một cách độc lập. Website-webserver ta1.myvnc.com chỉ làm nhiệm vụ giới thiệu, quảng cáo, tổng kết... gì đó. Trên đó có những link, chỉ khi click vào thì mới dẫn trình duyệt của user đi đến trang "trianglemu.com". Không nên tạo một mối liên hệ "phụ thuộc" dưới hình thức truyền dẫn dữ liệu giữa trianglemu.com và ta1.myvnc.com.  

Nếu hệ thống DNS bị sụp đổ hay bị chậm khi phân giải các gói tin tấn công thì đưong nhiên việc truy cập đến website từ các user khác sẽ không được hay bị chậm lại.  

Advanced security router 

Hic . Hình như bạn hiểu nhầm . Cái trianglemu.com nó chẳng có gì cả , chỉ là vài cái trang index quảng cáo , dẫn đến website chính mà mình host . Mình mua host ,domain trianglemu.com của servage.net để có 1 cái domain cố định , upload cái CLIENT cho gamer download về , và 1 cái forum cho gamer tiện trao đổi . Chứ nó không hỗ trợ MSSQL , không thể đưa cái web chính lên đó được . mà cái web này rất quan trọng . Người mới vào chơi phải vào đó để tao tài khoản , và rất nhiều vấn đề khác nữa , không thể thiếu được.  

[Mon Feb 04 01:11:49 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../../winnt/repair/sam._ HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../../winnt/win.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../autoexec.bat HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../boot.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../config.sys HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/hosts HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/passwd HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/shadow HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../autoexec.bat HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../boot.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../conf/Eserv.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../etc/passwd HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../scandisk.log HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/repair/sam HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/repair/sam._ HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/win.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../boot.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../config.sys HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../etc/passwd HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../hosts HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../passwd HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../shadow HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../template/shared/indexTemplate.xml HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/repair/sam._ HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/user.dat HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/win.ini HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows\\win.ini HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../winnt/win.ini HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../..\\ HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../boot.ini HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../config/html/cnf_gi.htm HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../examples//WEB-INF/../../../../../ HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../scandisk.log HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../ssd.ini HTTP/1.0 

The following message was sent to you via the Diễn Đàn TriAngle MU Contact Us form by 1.<ptxscan-demo@MTAuMC4wLjQ.com> Referring Page: http://www.trianglemu.com/PTtpnvsrbybm.htm IP Address: 116.118.40.235 User Name: Khách User ID: 0  

Hic. Vẫn đang bị flood :( 

Hic. Vẫn đang bị flood :(  

Chào bạn, theo những gì bạn đã nói thì mình có 1 ý thủ công Bạn nói khi tắt Apache thì games chạy bình thường, mình nghĩ vậy là nó không dos trực tiếp vào servergame.  

Bạn dùng 2 line riêng, 1 cho web, 1 cho server (servergame) Ms sql bạn để trên máy web hay máy server? Web liên hệ với server qua trao đổi dữ liệu với sql Không biết bạn thiết kế theo mô hình nào 1) Web + MS sql <--------------> servergame 2) Web <--------> MS sql <-----> servergame 3) Web <--------------> MS sql + servergame (Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau) Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo. :D  

Bổ sung: (kô sửa bài trên dc) 4. Tạo một db user khác để dùng cho web php, và thắt chặt quyền và balance cho nó, phần nào sẽ đỡ cho user dành cho game server 

Hi . Lại có người giúp nữa rồi. Vui quá . Mình đã giới hạn các thông số của apache server ( timeout , MaxKeepAliveRequests , keelalivetimeout ,ThreadsPerChild ,MaxRequestsPerChild, ThreadLimit ) nhưng vẫn không khắc phục được. Mình có đọc một số bài viết giới hạn lại TCP/IP trong windows bằng cách chỉnh sửa registry . Để mình thử cái đó xem sao .Có phải cái này không nhỉ

Open your registry and find the key below. Create a new DWORD value called "SynAttackProtect" and set it to either 0, 1 or 2 based on the table below. This value causes Transmission Control Protocol (TCP) to adjust retransmission of SYN-ACKS. When you configure this value, the connection responses time out more quickly in the event of a SYN attack (a type of denial of service attack). * 0 (default) - typical protection against SYN attacks * 1 - better protection against SYN attacks that uses the advanced values below. * 2 (recommended) - best protection against SYN attacks. This value adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress. Optional Advanced Values For extra control you can create these additional DWORD values in the same key for each of the items below. They are not required for SynAttackProtect to be effective. * TcpMaxHalfOpen - default value is "100" * TcpMaxHalfOpenRetried - default value is "80" * TcpMaxPortsExhausted - default value is "5" * TcpMaxConnectResponseRetransmissions - default value is "3"  

Mình đã up lại đoạn sniff trong quá trình bình thường và bị flood , bạn nào rảnh có thể xem giúp mình nhé http://stukyo.com/flood.rar ...  

... Bạn có thể sử dụng công cụ này. Lưu ý: do hệ thống hiện tại của bạn đang bị tấn công, nên tốt nhất bạn lựa chọn các giá trị tùy chọn thắt chặt nhất, sau đó nới lỏng dần từng tham số rồi xem phản ứng của hệ thống ra sao khi sử dụng công cụ trên.  

Mình sẽ tham khảo một số router xem sao . Có lẽ giá cao thật nhưng nếu nó lọc được 1 ít flood thì cũng cam . http://www.draytek.com.vn/category.aspx?cat=2 Ở đây có vài cái router support load balancing . Nhưng quan trọng nhất là về mặt security , cái nào cũng là " best security , anti ddos, flood " . cái dlink 520t của mình cũng quảng cáo như vậy :( Hiện mình đang ngắm 2 cái là Vigor2910 Dual WAN Security Router ( 170+ $ ) và Vigor2950 Dual WAN Security Router (460+ $). Không biết cái nào phù hợp hơn nhỉ . ...  

Tạo một db user khác để dùng cho web php, và thắt chặt quyền và balance cho nó, phần nào sẽ đỡ cho user dành cho game server  

Tớ sẽ ngâm cứu đoạn sniff mà bạn cung cấp xem có manh mối gì không. Hi vọng có thể giúp được bạn điều gì đó. 

Bạn dùng 2 line riêng, 1 cho web, 1 cho server (servergame) Ms sql bạn để trên máy web hay máy server? Web liên hệ với server qua trao đổi dữ liệu với sql Không biết bạn thiết kế theo mô hình nào 1) Web + MS sql <--------------> servergame 2) Web <--------> MS sql <-----> servergame 3) Web <--------------> MS sql + servergame (Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau) Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo. :D  

Chào các bạn. Trước tiên mình rất cảm ơn các bạn đã nhiệt tình giúp đỡ mình trong thời gian vừa qua . Mình đã biết được rất nhiều kiến thức qua các lần cố gắng bảo mật cho server . Hôm nay là 12/02 rồi . Đã gần 2 tháng kể từ lúc bị tấn công . Không có ngày nào mà ăn ngủ yên cả . Lúc nào cũng ngồi trên máy để canh và nghiên cứu chống lại . Mình đã thử rất nhiều cách từ router firewall ngoài , firewall software, isa, mod apache , các script cho web , giới hạn connnection ,... đủ thứ nhưng vẫn không khắc phục được . Rất buồn. Cái cảm giác thật sự khó diễn tả ... Hôm nay mình sniff 1 đoạn port 80 ghi lại hoạt động của webserver vào thời điểm bị tấn công ( liên tục từ lúc 05:50 PM và kéo dài 20 phút ) kèm log của apache server. Rất mong các bạn có thể bỏ chút thời gian ra xem xét và chỉ hộ giúp mình.Lần này mà mình vẫn không sửa được nữa thì có nước bó tay mất :( Đây là file : http://stukyo.com/120208.rar Địa chỉ IP của máy là 192.168.1.3 . Hiện mình đã gộp appserv và mssql lại chạy chung trên máy này luôn để tiện theo dõi. Rất cảm ơn các bạn đã quan tâm giúp đỡ .  

HIc . Mình dùng line VNN 4MB. Cấu hình máy mạnh lắm . Xeon 2g4 . Ram 4g . Hdd 200gb . lúc bị flood , CPU và RAM không hề bị quá tải . Chỉ có apache server thôi . 

Hic . Mình đã gỡ hết các file flash SWF xuống rồi mà vẫn bị đánh bầm dập. Liệu các file IMG có thể bị đánh không vậy comale ? Hay tất cả mọi thứ đều có thể bị DDOS ???  

Hic . Khổ tâm thật . mod security thì không chống được . Cản request rate cũng không xong . Giờ thì biết NGUYÊN DO rồi , các bạn tư vấn mình cách nào phòng chống với. Đang xem về mod_line_edit mà đọc thấy ...

Tuy vậy, phương thức này cũng có những nhược điểm: * Thứ nhất, nó chỉ chống được thế hệ xFlash hiện tại. Theo nghiên cứu của riêng tôi, Flash, cụ thể là Flash Player 9 với ActionScript 3, cực kì nguy hiểm. Cách làm này sẽ không thể chống được thế hệ xFlash mới được phát triển dựa trên tính năng của ActionScript 3. Ngoài ra, nếu kẻ tấn công biết cách khai thác các lỗ hổng của Flash 9 trở về trước, phương thức này cũng sẽ trở nên vô tác dụng. * Thứ hai, nó chỉ phát hiện và chống được POST request từ xFlash. Theo anh con-ma-le cho biết, một số biến thể xFlash hiện tại chỉ chơi GET request mà thôi. 

 

Hì hục hì hục . 6g rồi . Em mới mò ra . Hu hu hu . Trước giờ dùng cái mod_security 2.1.4 và 2.1.5 download từ http://www.apachelounge.com/. Củ chuối thật . làm y chang như trong file readme mà nó ko work . Dù đã loadmodules đủ hết , nhưng <IfModule mod_security2.c> </IfModule> thì ghi bùa ghi phèo gì bậy bạ trong đó nó cũng chạy vô tư , chả có sao cả :|. Làm include cái file .conf vào config mãi mà không thấy gì . Log mod_security cũng chả thấy đâu . Đến giờ mới mò được trang /www.gknw.net , vào down bản 2.1.1 về mà xài ( ko ham bản mới nữa ) thì rất good. Đang config lại . Quả là sai lầm . Hic . Làm báo comale quá , quả thật có lỗi . //Chỉnh : Ối trời . Cái SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400" phải dùng cho mod_security ver 1.xx . Vừa down và setup lại cái mod này bản 1.9 :( . Cho mình hỏi với cấu trúc là SecFilterSelective thì cho mod_security ver 2 là gì vậy ? Mình có thử SecRule mà nó báo lỗi , ứ chịu . Và tình hình là cái file log audit_log của mình nó ... tăng khá nhanh :| 

SecFilterEngine On SecFilterCheckURLEncoding On SecFilterForceByteRange 32 126 SecAuditEngine RelevantOnly SecAuditLog logs/audit_log SecFilterDebugLog logs/modsec_debug_log SecFilterDebugLevel 0 # SecFilterScanPOST On SecFilterDefaultAction "deny,log,status:403" # chongxflash SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400" SecFilter /etc/passwd SecFilter "\.\./" SecFilter "<[[:space:]]*script" SecFilter "<(.|\n)+>" SecFilter "delete[[:space:]]+from" SecFilter "insert[[:space:]]+into" SecFilter "select.+from" SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$" SecFilterSelective "HTTP_CONTENT_TYPE" multipart/form-data Nãy mình không đế ý , set SecFilterScanPOST On, thành ra nó chận POST hết , players login vào account control panel nó chận sạch :| nên log audit tăng ào ào . Hiện tại mình đã di dời tất cả các IMG và SWF lên host của servage.net , Web chỉ còn text , script , php , htm . Với mod security như trên và dời img , swf đi thì chắc hắn sẽ không đánh vào flash nữa . Mà là request này nọ ( mình nghĩ vậy ) . Để sáng nay theo dõi thử 1 cái nữa xem sao . Xem xem hắn sẽ đánh vào đâu . Nếu vẫn bị thì mình sẽ sniff lại 1 cái rồi gửi cho comale xem lại nhé . Cảm ơn rất nhiều . Không có comale giúp chắc giờ đập đầu vào màn hình mất thôi. 

Hic . Sáng nay vẫn bị đánh . comale xem giúp mình xem nó lại đánh vào đâu nhé. Không hiểu được là tại sao gỡ img và swf xuống hết mà vẫn bị. http://stukyo.com/140208.rar 

Cả ngày hôm nay bị đánh bầm mình luôn . Từ sáng đến tối . Dù các flash đã được xóa . Các IMG đều được load từ host khác . Buồn thay . Sáng mai mình sẽ canh và sniff lại xem xem lần này là bị đánh vào đâu nữa .