banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Flood Apache Webserver.  XML
  [Question]   Flood Apache Webserver. 25/01/2008 14:28:26 (+0700) | #1 | 112064
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Chào mọi người.

Mình có một vấn đề , mong mọi người bỏ chút thời gian ra đọc và giúp đỡ.

Mình có làm một server GameOnline MU nho nhỏ. Mình đã mở port 44405 cho GameConnectServer ( người chơi kết nối vào ) , port 55901 cho GameMainServer , port 80 cho Web.

Tất cả liên quan đến Game mình chạy trên 1 máy . Webserver trên 1 máy . 2 máy này đứng sau ISA 2006.

Về máy chạy GameServer :
Cài Comodo Firewall Pro 3 , MSSQL 2000 SP 4 .
Chạy 7,8 cái program chạy server (ConnectServer,ExternalData,Data,JoinServer,GameServer,...) trong đó , mỗi khi bị flood thì Joinserver nhận được các lỗi sau :
1114a [dasxv] (222.253.205.187) User Login
RecvQ Count : 279
RecvQ Count : 278
RecvQ Count : 277
RecvQ Count : 276
RecvQ Count : 276
RecvQ Count : 275
1118a [flowea] (222.253.205.187) User Login
RecvQ Count : 278
RecvQ Count : 277
RecvQ Count : 276
RecvQ Count : 275
RecvQ Count : 274
RecvQ Count : 273
RecvQ Count : 272
RecvQ Count : 271
RecvQ Count : 270
1122a [contnue] (222.254.31.212) User Login 


Những lúc bị như thế này thì cả hệ thống máy GameServer đều bị lag , hoạt động rất chậm , game gần như không hoạt động được nữa.Mình thử nghiên cứu thì nhận thấy mỗi khi RecvQ đang bị flood lên , mình tắt ngay Apache Service là hết bị .

Về máy chạy Apache Server : Chạy Apache bản mới nhất 2.2.8 port 47421 , PHP mới nhất , đã add 2 mod : mod_security và mod_evasive đều mới nhất , Login box bằng .htaccess

Về máy ISA: Chạy ISA 2006 , config đủ thứ : Chỉ mở 2 port 44405,55901 , không mở Outbound luôn. Publish web port 80 dẫn về port 47421 của máy chạy Apache Server. Config limit TCP , UDP , HTTP REQUEST per second.

Tất cả các máy đều chạy Windows Server 2003 SP 2 , đã được tắt NetBios service , disable port 137,138,139,445.

Với cách config trên của mình thì có thể xác định 100% là bị đánh vào qua Webserver. mình đã thử monitor các port 80 , 47421 , thậm chí là các port 44405 , 55901 nhưng vẫn không phát hiện được vấn đề. Chuyển qua HTTP policy của ISA . Mình thử disable hết các HTTP methods, chỉ dùng GET thôi thì vẫn bị , nhưng disable GET , mở các mothod còn lại thì không bị . Như vậy là bị GET. mình đã bị gần 3 tuần nay . Thử đủ phương pháp nhưng vẫn không phòng được . Cứ 7 8 giờ sáng là hắn thức , hắn phá cho đến tối khuya. Chỉ khi nào mình stop service Apache hoặc bỏ publish web hoặc disable method GET thì không bị . Nhưng những lúc đó thì web của mình cũng off luôn. smilie Mong các bạn chỉ giúp cách nào có thể cải thiện được tình hình hiện tại.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 25/01/2008 17:50:30 (+0700) | #2 | 112075
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Đoạn log ở trên của chương trình nào vậy?

Post lên một đoạn log của apache trong khi bị "nó" phá xem sao?

mod_security và mod_evasive có cài lên nhưng không chỉnh cụ thể để chống thì vô ích.
.htaccess có thể bị "by-pass" để flood một cách dễ dàng.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 01:29:20 (+0700) | #3 | 112129
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Cảm ơn bạn đã giúp đỡ.

Đây là log của Game . Mỗi khi nó báo RecvQ là lúc đó đang bị flood. http://stukyo.com/20080124.log

Theo file log đó thì đầu giờ sáng ngày 24 là đang bị .

Đây là file access log của apache server ngày hôm đó : http://stukyo.com/access.log
Do mình chỉnh ISA nhầm nên log này chỉ nhận IP internal của ISA , không hiểu IP thật từ client . Mình sẽ sửa lại sau . Nếu được mình sẽ update lại log ngày 25 cho bạn xem.

Đây là report của ISA tạo ngày 24 : http://stukyo.com/ISAreport.rar

Đọc file log của apacheserver thì mình thấy đầu giờ sáng có những dòng này đáng nghi , không biết phải không :
192.168.1.10 - - [23/Jan/2008:23:59:15 +0700] "GET /home/ HTTP/1.1" 500 13019
192.168.1.10 - - [23/Jan/2008:23:59:23 +0700] "GET /home/ HTTP/1.1" 500 13019
192.168.1.10 - - [23/Jan/2008:23:59:25 +0700] "GET /home/ HTTP/1.1" 500 13019
192.168.1.10 - - [23/Jan/2008:23:59:26 +0700] "GET /home/ HTTP/1.1" 500 13019
192.168.1.10 - - [23/Jan/2008:23:59:27 +0700] "GET /home/ HTTP/1.1" 500 13019

Đối phương flood mình không dồn dập . Không phải là cả ngàn tin cùng lúc . Mình nghĩ vậy . Modem không bị gì . Appserv không bị restart , không bị stop . Chỉ ảnh hưởng đến Game . Nếu ngưng flood thì mọi thứ sẽ trở lại bình thường. Có điều là lúc này các kết nối đến game đều đã bị ngắt hết rồi. Cụ thể là trong 1 giây , Game sẽ nhận được khoảng 5 cái RecvQ. Có lúc ít hơn nữa . nhưng càng ngày càng tăng , không giảm nên không chữa được luôn. Mong các bạn xem giúp.
Nếu bạn cần chi tiết cụ thể , mình sẽ monitor port 80 ở ngoài và port web của apache server cho các bạn xem. Xin cảm ơn.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 01:34:00 (+0700) | #4 | 112130
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Đây là conf của evasive :
<IfModule dosevasive22_module>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 10
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 120
</IfModule>  


Đây là conf của security
SecRuleEngine On
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
SecFilterSelective "ARG_recipient" "!@modsecurity\.org$"
SecFilterSelective "ARG_recipient" "!@modsecurity\.org$"
SecFilterSelective OUTPUT "Volume Serial Number"
SecFilterSelective OUTPUT "Command completed"
SecFilterSelective OUTPUT "Bad command or filename"
SecFilterSelective OUTPUT "file(s) copied"
SecFilterSelective OUTPUT "Index of /cgi-bin/"
SecFilterSelective OUTPUT ".*uid\=\("
SecAuditLog logs/audit.log
SecFilterDebugLog logs/modsec.log
SecFilterDebugLevel 1
SecFilterScanPOST On
SecFilter /etc/password
SecFilter /bin/ls
SecFilter "\.\./"
SecFilterForceByteRange 32 126  
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 01:35:24 (+0700) | #5 | 112131
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Mình đã tắt hết Netbios của tất cả các máy Internal , Disable outbound hết nhưng vẫn bị . Change port của Webserver liên tục luôn rồi smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 05:24:25 (+0700) | #6 | 112178
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Bó tay. Log toàn log IP 192.168.1.10 thì không cách gì phân tích nguồn nào là nguồn đáng ngờ (dựa trên biên độ thời gian). Apache log thì dùng dạng đơn giản nhất nên cũng không giúp được gì.

Cái này có lẽ không dính gì đến netBios đâu.

Log của game có thể cung cấp thông tin gì chi tiết hơn không?

Log của Apache nên đổi để cung cấp thêm thông tin.

1) Xác định log format chi tiết hơn:
Code:
LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" combined
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" combined_forwarded


2) Xác định biến nếu proxy được dùng:
Code:
SetEnvIfNoCase X-Forwarded-For "." from_proxy=1


3) Ấn định dạng log:
Code:
CustomLog /path/to/access.log combined env=!from_proxy
CustomLog /path/to/access.log combined_forwarded env=from_proxy



Sau đó restart lại apache và theo dõi rồi cung cấp log mới thì mới có thể phân tích được.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 09:08:01 (+0700) | #7 | 112217
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Rất cảm ơn bạn đã nhiệt tình giúp đỡ . Mình đã config lại ISA và đây là log apache chiều ngày 25/01 với IP cụ thể từ client. http://stukyo.com/access.log

Các thời điểm bị tấn công mà mình canh được:
5g45pm
5g48pm
6g02pm
6g08pm
6g23pm
6g28pm
6g53pm
6g54pm
6g56pm

Đây là thời điểm mà game báo là bị flood . Bạn có thể xem qua file này , đây là log của game . Những nơi nào có dòng RecvQ Count là vào thời điểm đó đang bị flood . http://stukyo.com/20080125.log

Tuy nhiên , mình nghĩ các packet flood mà game nhận phải được gửi vào apache trước đó vài chục giây hoặc 1 , 2 phút vì nếu mình STOP Service apache thì flood ngưng ngay , nhưng nếu stop publish web hoặc stop publish method GET thì phải đợi vài chục giây sau . Dường như là Game còn phải ... nhận cho hết các packet flood thì mới ngưng được.
Đây là file conf của apache server mình đã config lại theo ý bạn , không biết có sai sót gì không , mời bạn xem qua.
http://stukyo.com/httpd.conf

Chân thành cảm ơn.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 10:26:49 (+0700) | #8 | 112228
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Mình xin bổ sung thêm log file apache mới . Vừa bị flood thêm nữa vào lúc 8g00 PM và 8g08PM http://stukyo.com/newaccess.log
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 10:41:50 (+0700) | #9 | 112231
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Mình đã xem log nhưng không phát hiện được điểm nào đáng ngờ . Mong các bạn chỉ giúp.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 13:29:16 (+0700) | #10 | 112256
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Mod comale ơi , giúp mình với. Mình F5 sau mỗi 2 3 phút từ trưa giờ rồi smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 14:46:26 (+0700) | #11 | 112263
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
anh post dùm em lên những rule đã set cho con ISA đc ko?
có khi nào anh nghĩ do hiệu năng của server quá kém, khi nhận được request quá nhiều thì sụm ko?

Đoán mò, đọc log mù cả mắt!
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 16:03:32 (+0700) | #12 | 112267
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
HIc . Mình dùng line VNN 4MB. Cấu hình máy mạnh lắm . Xeon 2g4 . Ram 4g . Hdd 200gb . lúc bị flood , CPU và RAM không hề bị quá tải . Chỉ có apache server thôi .
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 26/01/2008 20:05:01 (+0700) | #13 | 112269
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Thời gian hiển thị trên log của Apache không tương ứng với thời gian trên log của game. Ngay cả mở rộng mốc thời gian theo giờ và phút (thay vì đi cụ thể đến giây) vẫn không thể tìm ra được mốc tương ứng giữa 2 log files.

Băng thông 4Mbit mà host game + web thì quá ít. Ai đó chỉ cần flood trơn (có nghĩa là chọn vài URL nào đó ít khả nghi trên site của bồ để flood) thì đường băng thông sẽ tràn ngay.

Bồ PM cho tôi cái URL của site bồ để tôi vào thu thập các URL hợp lệ rồi mới dùng chúng để so sánh với cái apache log của bồ thì may ra mới tìm được điểm khác biệt.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 01:37:03 (+0700) | #14 | 112311
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Cảm ơn bạn comale đã trả lời. Do khi bị flood , mình thấy nó flood lên cao quá nên có tắt publish để ngắt đi . Nhiều khi do đó nên apache không lưu log hoặc gì đó khiến bạn không thể phân tích . Mình đã gửi lại cho bạn 1 file access.log và log của game mới vào sáng ngày 26 . Ngủ trưa mới dậy thì thấy nó flood ngút trời từ lúc 8g50 đến 9g10 và 10g50 đến 11g10 . Thời gian dài như thế này hi vọng bạn có thể xem được . Bạn chú ý giùm mình điểm này : Khi bị flood : Gameserver sẽ báo RecvQ Count tăng lên từ từ . Tăng đến một mức nào đó tùy theo flooder thì sẽ được nhả ra hết. Lúc này thì mới được lưu vào log . Ví dụ lần flood thứ 2 , xem log thì thấy là từ lúc 10g50 nhưng trên thật tế thì có lẽ đã nhận được từ trước đó smilie
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 02:32:40 (+0700) | #15 | 112320
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Trên site của bạn, có module nào là user không? Ví dụ, request đi đến: /home/main.php?op=user
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 02:55:00 (+0700) | #16 | 112327
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Dùng một công cụ để lọc ra hết các request đi từ IP: 203.210.251.123 rồi xem kỹ thì sẽ thấy các điểm đáng ngờ.

Tôi không thể login bằng username + pass bạn gởi nên không thể xác định các modules được dùng sâu hơn.

PS: bây giờ đi nhậu một phát cái đã. Có thể ngày mai online lại.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 03:00:07 (+0700) | #17 | 112328
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Có main.php?op=user . Đây là module mà người chơi đăng nhập vào web để quản lý tài khoản của mình . Game của mình là MU , có reset nhân vật sau mỗi lần luyện nên một tiếng có vài chục người truy cập vào để reset nhân vậtt. Nói thế chứ bạn đừng nghĩ là do vậy nên mình tưởng là flood vì trước đây người chơi đông gấp 2 lần giờ luôn . Không bị gì . Giờ vắng lắm mà bị . Vì bữa mình có khóa acc của vài người cheat . Họ nói họ sẽ báo thù , hãy canh chừng hacker smilie.

Hiện tại nó đang flood nên đành phải stop publish web , đợi một tí mới mở lại xem xem hết chưa . Chưa hết lại phải off tiếp smilie.
Hôm nay mình nhận thấy thêm một thông tin : Nếu mình stop service của apache thì game hết báo recvQ ngay nhưng sau khi start lại service thì sẽ tiếp tục báo recvQ lại khoảng vài chục cái . Đây có lẽ là " tàn dư" . Mình nghĩ cho dù stop service , tín hiệu flood vẫn còn nằm trong apache server , start service lên , nó chạy vào lại game vài chục cái rồi mới xong.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 03:03:43 (+0700) | #18 | 112329
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]

conmale wrote:
Dùng một công cụ để lọc ra hết các request đi từ IP: 203.210.251.123 rồi xem kỹ thì sẽ thấy các điểm đáng ngờ.

Tôi không thể login bằng username + pass bạn gởi nên không thể xác định các modules được dùng sâu hơn.

PS: bây giờ đi nhậu một phát cái đã. Có thể ngày mai online lại. 


Ọc . Mình vào được mà . Bạn mở my computer ra ,gõ vào ftp.servage.net . Full là ftp://ftp.servage.net/ chứ không phải ftp://servage.net/ nhé smilie Bạn ráng giúp mình nhé . Mình cầu cứu nhiều lắm rồi mà không được . Bản thân mình từ lúc bị flood đến nay đã nghiên cứu nhiều lắm , cài mấy mod cho apache ,firewall, .htaccesss , isa , ... nhưng vẫn chịu thua .
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 04:08:20 (+0700) | #19 | 112348
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Mình có gửi lên đây file mà ISA monitor được ngay vào thời điểm bị flood . Mình monitor port 80 ( web out ) và 15212 ( web in ) . http://stukyo.com/isamonitor.xls
Các IP trong file log :
IP 192.168.1.10 : card mạng Internal của máy ISA
IP 192.168.1.9 : card mạng External của máy ISA
IP 192.168.1.3 : IP máy chạy WebServer
IP 192.168.1.11 : Client internal
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 14:42:18 (+0700) | #20 | 112446
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
Theo như anh nói thì em nghĩ vấn đề ở đây là Apache. "Thử" tập trung vào config của apache nhé. Vì như những thông tin anh đưa lên, theo kiến thức kém cỏi của em thì ko tìm ra điểm đáng ngờ ở đâu cả, ngay cả đoạn log ISA anh vừa post lên.

Lần trước em hỏi anh post rule của ISA lên anh ko post (chắc vì lí do gì đấy)
Lần này anh thử post conf của Apache lên được ko? Cái này có cũng chả đụng chạm gì tới server của anh được, nên anh ko cần lo lắng smilie

Thử dùng một monitor tool kiểm tra các IP send request liên tục đến server (nằm trong log), chỉ kiểm tra riêng các request đến từ các IP này, như anh conmale nói, xem có điều gì đáng ngờ ko? Hoặc post lên đây cùng nghiên cứu.


All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 15:00:21 (+0700) | #21 | 112450
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Cảm ơn mR.Bi . Đang là 12:49 AM . Đợi comale giúp thì có mR.Bi trả lời . Vui quá . Mình thử phân tích log apache server và log ISA nhưng không tìm được đầu mối smilie . Thật ra mình đâu có gì đâu mà giấu . File conf của Apache mình đã post từ bài trên rồi http://stukyo.com/httpd.conf.
Có cả conf mod security và evasive ở trên luôn . Còn rule của ISA thì như mình đã nói , mình chỉ mở publish web 80 , đưa về port đúng port apache server cho máy webserver, publish thêm 44405 , 55901 cho game . Outbound cho 2 máy internal ra ngoài ( máy mình xài để chat chiếc , mở web chơi , không đụng gì đến server web và game cả ) . Chứ post rule thì mình cũng không biết phải post thế nào , chụp màn hình Configuration firewall của ISA thì đâu thấy được cụ thể các protocol bên trong smilie. Nhưng mình nghĩ ISA đã OK . Vấn đề ở đây là apache của mình thôi . Mình thử dùng chức năng HTTP FILTER của ISA nhưng không được . Đến cả nguyên cái web của mình đã đổi thành web khác , người khác viết , xóa hết , thay nguyên cái web mới vào cũng bị tiếp . Mình mới bước chân vào lĩnh vực này nên chưa có kinh nghiệm nhiều , chưa biết nhiều tools. Bạn có thể nói cụ thể tools nào ,tên gì , dùng để làm gì để mình tìm được không. Còn log hay mọi thông tin bạn cần mình đều có thể cung cấp được . Ngay cả việc remote server mình để xem = remote administrator . Hoặc đến nhà mình giúp . Xin hậu tạ luôn. Mình ở TPHCM . Q Tân Bình . Bị 3 tuần nay . Khổ sổ lắm rồi . Huhu . cảm ơn bạn mR.Bi đã giúp .
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 17:29:43 (+0700) | #22 | 112465
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Mình tính dùng cái này apply vào web :http://www.white-hat-web-design.co.uk/articles/php-captcha.php . Mọi người cho ý kiến thử xem
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 21:30:13 (+0700) | #23 | 112474
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

levinthan wrote:
Mình tính dùng cái này apply vào web :http://www.white-hat-web-design.co.uk/articles/php-captcha.php . Mọi người cho ý kiến thử xem  


Captchar cho mọi trang?

Xem logs của bồ, nếu module "user" có và hợp lệ thì không thấy có dấu hiệu gì đáng cho là bị flood cả.

Bồ cho biết apache của bồ có giá trị MaxClients, MaxRequestsPerChild, MaxKeepAliveRequestsKeepAliveTimeout là bao nhiêu?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 22:43:08 (+0700) | #24 | 112480
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Hic . Như mình đã đưa http://stukyo.com/httpd.conf lên , mình chưa config các thông số như bạn nói . Chỉ có MaxRequestsPerChild 0 là default. Mình có thể tìm kiếm và thêm các thông số đó vào được . Nhưng không biết thông số nào là phù hợp . Bạn có thể cho mình biết với tình trạng server của mình thì nên dùng thông số là bao nhiêu không ? Như mình đã nói , mình bị flood rất nhẹ , rất đều đều. Mình sẽ dùng chương trình quay phim lại cho bạn xem nhé .
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 27/01/2008 23:20:19 (+0700) | #25 | 112490
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
http://stukyo.com/b.swf

Đây là flash video ghi lại quá trình bị flood.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 28/01/2008 02:30:28 (+0700) | #26 | 112515
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Qua các dữ liệu bồ cung cấp, tôi thấy có 2 việc:

1) Băng thông quá ít.
2) Apache config không đầy đủ.

Chớ chẳng có ai flood bồ cả. Phân tích xuyên qua mấy cái apache logs của bồ, tôi không thấy có một pattern nào chứng tỏ bạn bị flood. Về việc cấu hình apache 2.2, nên tham khảo tài liệu chính thức trên http://httpd.apache.org, cấu hình httpd.conf của bạn quá đơn giản và không đầy đủ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 28/01/2008 03:18:06 (+0700) | #27 | 112519
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Vâng . Đúng là em config Apache không đầy đủ thật . Em đã nghiên cứu và config các giá trị MaxClients, MaxRequestsPerChild, MaxKeepAliveRequests và KeepAliveTimeout lại rồi nhưng vẫn bị . Nhưng việc em bị flood thì hoàn toàn là sự thật vì trước giờ không bị gì , gần đây bị ghét nên vậy . Và ban đêm hoặc ngay cả các giờ cao điểm , các giờ mà số lượng người truy cập vào đông cũng không bị tình trạng vậy . Nó xảy ra rất là ngẫu nhiên, vào các thời điểm không cố định , chứ không phải bị theo số người truy cập . Băng thông của em ít thật nhưng với lượng người truy cập chỉ là vài chục thì có đến tình trạng đó không. Em tìm đến HVA nhờ giúp đỡ cũng vì em bế tắc rồi . Anh nói vậy thì em đành chịu . Thôi thì cảm ơn anh đã nhiệt tình giúp đỡ em trong các bài vừa rồi . Chúc anh vui vẻ .
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 28/01/2008 19:40:17 (+0700) | #28 | 112610
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

levinthan wrote:
Vâng . Đúng là em config Apache không đầy đủ thật . Em đã nghiên cứu và config các giá trị MaxClients, MaxRequestsPerChild, MaxKeepAliveRequests và KeepAliveTimeout lại rồi nhưng vẫn bị . Nhưng việc em bị flood thì hoàn toàn là sự thật vì trước giờ không bị gì , gần đây bị ghét nên vậy . Và ban đêm hoặc ngay cả các giờ cao điểm , các giờ mà số lượng người truy cập vào đông cũng không bị tình trạng vậy . Nó xảy ra rất là ngẫu nhiên, vào các thời điểm không cố định , chứ không phải bị theo số người truy cập . Băng thông của em ít thật nhưng với lượng người truy cập chỉ là vài chục thì có đến tình trạng đó không. Em tìm đến HVA nhờ giúp đỡ cũng vì em bế tắc rồi . Anh nói vậy thì em đành chịu . Thôi thì cảm ơn anh đã nhiệt tình giúp đỡ em trong các bài vừa rồi . Chúc anh vui vẻ . 


Đoạn cuối của httpd.conf của bồ có đoạn:

# Server-pool management (MPM specific)
#Include conf/extra/httpd-mpm.conf

# Multi-language error messages
#Include conf/extra/httpd-multilang-errordoc.conf

# Fancy directory listings
#Include conf/extra/httpd-autoindex.conf

# Language settings
#Include conf/extra/httpd-languages.conf

# User home directories
#Include conf/extra/httpd-userdir.conf

# Real-time info on requests and configuration
#Include conf/extra/httpd-info.conf

# Virtual hosts
#Include conf/extra/httpd-vhosts.conf

# Local access to the Apache HTTP Server Manual
#Include conf/extra/httpd-manual.conf

# Distributed authoring and versioning (WebDAV)
#Include conf/extra/httpd-dav.conf

# Various default settings
#Include conf/extra/httpd-default.conf 


Bồ nên nghiên cứu config file của các phần màu đỏ mà tôi đã đánh dấu. Hiện nay chúng đều bị "hash out" (vô hiệu hóa). Bạn nên xem chúng và điều chỉnh và sử dụng cho đúng.

Hiện tượng này càng ngẫu nhiên càng giải thích tình trạng config của apache không đúng, thiếu sót.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 28/01/2008 23:27:18 (+0700) | #29 | 112625
[Avatar]
levinthan
Member

[Minus]    0    [Plus]
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
[Profile] [PM] [Yahoo!]
Cảm ơn bạn đã chú ý . Mình đang tìm kiếm .
[Up] [Print Copy]
  [Question]   Re: Flood Apache Webserver. 29/01/2008 01:19:16 (+0700) | #30 | 112650
subnetwork
Member

[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bro sử dụng bộ XAMPP cho server của bro . Nếu sử dụng 1.6.4 thì upgrade lên 1.6.5

Nếu server Linux thì chắc có nhiều cuộc thảo luận thú vị nhưng ở đây là server Windows thì tôi dám bàn tiếp, chỉ có cách điều chỉnh Apache, Mysql như anh conmale nói ở trên .

Còn tôi không tin tưởng bất cứ phần mềm "firewall" nào trên Windows smilie
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|