banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: rongdennt  XML
Profile for rongdennt Messages posted by rongdennt [ number of posts not being displayed on this page: 0 ]
 
Có ai có cho mình xin với, sắp deadline rồi mà chưa biết nên bắt đầu viết ra sao đây

hanthuy wrote:
Cái này là bữa cuối không chịu đi học nè smilie  


Đi học đủ đó chứ, hôm cuối, thầy nói mail cho thầy rồi thầy mail lại cho bài mẫu. Mà mail 2 cái, nhắn tin luôn rồi mà mãi không thấy hồi âm, google thì ko thấy. Đành phải tự thân vận động, chứ lỡ thầy quên luôn không có bài nộp thì mình chết .
Tình hình là mình học CEH, cuối môn yêu cầu làm báo cáo kiểm tra bảo mật một hệ thống. Mà mình lại không biết nên viết sao. Nên mong mọi người giúp mình 1 bài báo cáo mẫu để mình có cái sườn làm báo cáo (chắc tình hình là dựng máy ảo rồi tự kiểm tra, viết bài)

Chân thành cảm ơn

dangkyweb2001 wrote:
tình hình là em biết vai địa chỉ ip có mở cổng 80. 81.21 .23...(bảo đảm 100% là đang hoạt đông ) nhưng tại sao em ping ip , và scan port lại không được ......... , mình sử dụng ddos để cho lag 1 or rớt 1 mạng vậy yêu cầu ip đó mở những port nào vậy anh
em cần nghiên cứu ddos , ai rành pm nhận em làm đệ tử em xin hậu tạ , nick yahoo em : ngochuong1200  


Bạn đã sử dụng rành rẽ công cụ scan port chưa? bạn scan port với tool nào? câu lệnh ra sao? Bạn hiểu thế nào là DoS, DDoS ? Và mục đích khi bạn muốn "ping ip , và scan port" là gì ?

conmale wrote:
Thử xem nếu ai đó vào yahoo.de hay yahoo.jp thì sao? Nếu chỉ cần viết 1 signature để áp dụng cho mọi "yahoo" thì biện pháp nào là tốt nhất? 


Em dùng wireshack capture thử gói mình request đến yahoo.com thử xem, kết quả thế này



vậy em thiết lập rule như sau:
alert tcp 192.168.1.0/24 any -> any 80 (content:".yahoo.com"; http_header;) (giống của bạn trả lời trước)

Nếu như hình trên thì mình có nên giới hạn offset và depth như thế nào anh ? (sẳn hỏi luôn)

conmale wrote:

alert tcp any 192.168.1.0/24 -> any 80 (content:"yahoo.com"; http_header;)

Vậy nếu, người dùng truy cập http://www.YaHoO.coM thì sao? (chú ý chữ cái và chữ thường trong cụm YaHoO.coM)? Hãy tự tìm hiểu thêm các "Payload Detection Rule Options" của snort. 


alert tcp any 192.168.1.0/24 -> any 80 (content:"yahoo.com"; nocase; http_header;)

hì, thử làm bài tập của anh conmale xem có đúng không ?

Nhưng cái đoạn này
alert tcp any 192.168.1.0/24 -> any 80

theo em biết rule có dạng action Protocol ip_address port_number -> ip_address port_number
Có phải anh ghi nhầm không?

conmale wrote:
Nếu snort chạy trên server riêng biệt chớ không phải chạy ngay trên FW và không lắng nghe trên internal interface hoặc external interface của FW thì tình hình sẽ hoàn toàn khác.

Anh có cảm giác như em hiểu rằng snort là một "active" device (như dạng một cơ chế cản lọc). Tận cùng mà nói, nó là một sniffer và nó có thể sniff bất cứ thứ gì xuất hiện trên NIC. Việc iptables có làm gì là chuyện hoàn toàn không dính dáng gì đến snort hết.

IPS hay không là tuỳ ở chỗ snort làm "cái gì" để cho "cái gì" khác ngăn chặn những gói tin bất hợp pháp. Bản thân snort không phải là IPS


yeah, ý em là nhu vậy đó, nên em mới dùng câu "có chức năng như 1 IPS" chứ không phải "snort là 1 IPS". Cái "có chức năng như 1 IPS" ở đây chính xác là snort làm "cái gì" để cho "cái gì", ví như nó gặp 1 gói tin thoả signature, nó làm 2 động tác, alert và đưa cho Iptables "làm cái gì" để ngăn chặn gói tin bất hợp pháp.

Em hiểu vậy có ổn không anh ?
Lấy ví dụ như sau:
Cái server là giám đốc của cty, còn ông A là bảo vệ, ông B cũng là bảo vệ nốt
Sơ đồ:

Giám đốc <--- B <---- A <---- cái cổng

Vậy gói tin đóng vai trò như người đi vào. Ta đặt 2 trường hợp:
I/ A là snort đừng external inteface, B là FW:
1. A là IDS: Nếu khách hàng C đi vào, qua cổng gặp ông A đầu tiên. ông A chỉ ngó coi rồi báo lại cho giám đốc, ko làm gì hết cho dù có phát hiện được C là ăn trộm, kẻ gian hay đó là một khách hàng hợp lệ đi nữa. Sau khi đi qua mặt ông A, gặp ông B, ông này cũng ngó coi C có phải kẻ gian không? nếu phải thì bắt nó lại, tống cổ ra đường.
===> Ông A mỏi mắt nhìn hoài mặc dù không xử lý gì hết đối với C cho dù C có là ai đi nữa, ông B vất vả, do phải vừa coi, vừa "đá đít" mấy tên kẻ gian.

2. A có chức năng như 1 IPS: Khách hàng C cũng đi vào, gặp ông A trước, Ông A cũng coi ngó, thấy vi phạm, cũng bắt nó tống ra ngoài. Nếu không vi phạm cho qua, thì thằng C (khách hàng đã qua được cửa kiểm tra của ông A), sẽ gặp ông B, và bị ông B kiểm tra tiếp, thoã mãn nội quy thì cho vô.

==== Cả 2 đều mỏi (A và B) nhưng công việc của B có giảm tải được đôi chút do ông A đã làm việc trước đó 1 lần rồi, còn ông A thì mệt hơn so với trường hợp I.1, vì vừa phải coi ngó, vừa phải xử lý C nếu vi phạm.

II/ A là FW, B là snort (internal interface):

1. B là IDS: Cũng tay C đi vào, gặp cái ông B "hắc ám" trước, ông xét 1 lược, vi phạm nội quy thì đuổi ra ngoài, trường hợp này là chưa gặp được ông B là đã bị ông A đuổi rồi, nếu không vi pham thì tiếp vô vòng trong gặp ông B (snort).
===> Ông B sẽ làm việc khá là nặng, vì ai cũng phải gặp ổng đầu tiên. Còn B khá nhẹ nhàng vì được B "bảo kê" trước 1 lớp rồi. Những khi giám đốc yêu cầu ông B báo cáo tình hình trong ngày, thì ông B không báo cáo đầy đủ (vì 1 số khách hàng vi phạm đã bị A đá ra trước khi gặp B)

2/ B có chức năng như IPS: Cũng tương tự như tình huống trên (II.1), nhưng sau khi C thoả mãn điều kiện của ông A, thì còn bị ông B này kiểm tra thêm lần nữa, và xử lý nếu có vi phạm
===> Ông B lúc này cũng nặng nề trách nhiệm hơn, nhưng ông giám đốc đỡ mệt hơn


Cái này là em viết theo kiểu "bình dân học vụ", anh conmale đừng bắt bẻ chữ nghĩa em nhé smilie
giả sử ta chỉ có 1 server snort đóng vai trò IDS/IPS 


Chắc câu cú của em không rõ ràng. Ý em ở đây là mình chỉ có 1 server snort, 2 cái snort trong hình chỉ là minh hoạ cho vị trí đặt nó (vị trí == snort 1 || vị trí ==snort 2)

Như trong tình huống bị DoS/DDoS thì sao hả anh? Mình nên đặt ở vị trí 1 hay 2 là tốt nhất trong vấn đề phát hiện (IDS) và góp phần "giúp đỡ" FW chống hiệu quả hơn ?

Theo em nghĩ, nếu mình đặt ở vị trí số 2 (ở trước FW, trên external interface) thì khi bị tấn công (cụ thể như DoS/DDoS) thì snort sẽ gánh đầu tiên, nó sẽ nhận request trước và cảnh báo 1 cách chính xác hơn về mức độ tấn công, còn giả như mình cấu hình nó như 1 IPS, thì nó sẽ cản lọc được 1 phần trước khi vào đến FW, vấn đề ở đây là lúc này FW sẽ nhẹ nhàng hơn nhưng snort thì phải chịu hậu quả gì? có quá nặng cho snort không ? ưu khuyết điểm khi đặt ở vị trí này như thế nào? Nhờ anh chỉ điểm giúp.

Còn nếu mình đặt trường hợp ngược lại, đặt snort ở vị trí snort 1, thì FW sẽ cản lọc được 1 phần rồi, phần còn lại, có thể snort sẽ chặn thêm được 1 phần trong đó nữa (IPS), còn nếu là IDS thì nó sẽ không nhận đầy đủ các gói đã đi vào (bị FW dzớt 1 phần rồi, nền phần đó sẽ không vào được đến Snort) dẫn đến mức độ cảnh báo không được chính xác và đầy đủ như trường hợp phía trên.

Em đặt giả thiết:
- Cho tấn công DoS/DDoS ở hình thức cụ thể
- Snort đã có rule cảnh bảo đối với hình thức trên
Mình có mô hình như sau (đơn giản để minh hoạ)



Trong đó snort 1 và snort 2 là 2 vị trí có thể đặt snort.
Xin mọi người cho ý kiến về vị trí đặt snort cái nào tốt hơn, ưu và khuyết điểm của từng vị trí? Trong trường hợp nào thì đặt ở vị trí số 1 và trường hợp nào đặt vị trí số 2? (giả sử ta chỉ có 1 server snort đóng vai trò IDS/IPS)

Nếu ta cấu hình cho snort có chức năng của 1 IPS (ở đây chỉ đề cập IPS mềm chứ không phải phần cứng chuyên dụng) thì đặt như thế nào là tốt nhất ? nếu chỉ là 1 IDS thì đặt ở vị trí nào ?

Mong mọi người cho ý kiến
Chân thành cảm ơn
Chăc bạn ấy bị local attack rồi. Dùng share host thì đầu tiên phải chmod cho kĩ vào, để giảm thiểu cái local attack trước. Share host thì phải chịu vấn đề này. Mình bị mấy lần rồi. Sau là đến mấy cái mod, nên hiểu về code chút, đọc để coi người share cái mod đó có bị lợi dụng, vô tình hay cố ý bị lợi dụng để 1 đoạn code "không trong sáng" không?
Em mới edit bài trên của mình, theo em hiểu thì offset ở đây là vị trí mà mình xác định của gói tin mà mình điền trong content được tính từ vị trí đầu tiên của gói tin (vị trí đầu tiên nó tính là 0 phải không anh? )
Con depth là chiều dài tính từ vị trí xác định trong offset ?
Ví dụ như gói tin mình bắt được có dạng

00 11 22 33 44 55 66 77 88 99

thì offset:2;depth:3 là |11 22 33| phải không anh ?

conmale wrote:

acti wrote:
Cám ơn anh conmale đã suggest cho tôi!
Tôi đã contact với bên ISP nhưng họ chỉ đưa ra giải pháp là đổi IP và muốn tôi xem lại có bị tấn công nữa không! Tôi cũng không biết ISP quản lý kiểu gì đây nữa T_T 


Đổi IP thì chỉ có thể ngưng DDoS chừng 1 giờ. Sau đó kẻ tấn công phát hiện ra thì cũng quay lại tình trạng cũ. ISP có thể filter dạng tấn công này trên border router của họ hoặc họ phải thoả thuận với bạn là họ không tính "in bound" traffic thì bạn mới chịu nổi. 


Nếu như thoả thuận không tính inbound traffic như anh conmale nói, mà kẻ tấn công vẫn "ầm ầm" dội vô, thì tình trạng đường truyền bị bão hoà là có thể xảy <--- thoã mãn mục đích tấn công từ chối dịch vụ.

Nếu IPS không giúp được chuyện này thì chắc bạn phải chuyển qua IPS khác quá smilie

conmale wrote:

phathuynh26 wrote:

Anh conmale ơi, rule và signature khác nhau chổ nào vậy anh? Em nghĩ signature nằm trong một rule, rule thì chứa nhiều signature smilie 


"Signature nằm trong một rule" là đúng nhưng "rule chứa nhiều signature" thì chưa chính xác. Ví dụ, đây là một rule:

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (flagssmilieA; msg:"POST Null frag1 - Flash attack HVA"; flow:to_server; content:"|68 6F 74 6C 69 6E 6B 73 3D 4F 66 66 69 63 61 6C|"; offset:30; depth:40; classtype:attempted-FragDataPOST; resp:rst_all; react:blocksmilie

trong đó chỉ có một signature đó là đoạn màu đỏ xác định tính chất của packet cần được nhận diện. Tất nhiên, đoạn màu cam, màu vàng và màu xanh lá ở trên cũng quan trọng để thu hẹp biên độ matching nhưng chúng không phải là những signature. 


Anh conmale ơi, anh có thể post kèm với rule trên đoạn stream đã giúp anh hình thành rule này được không ạ?
Em chưa hiểu cái offset và depth lắm. Em có google thì ra thông tin về 2 cái này như sau:
offset

offset: < value>;
Từ khóa offset được sử dụng kết hợp với từ khóa content. Sử dụng từ khóa này, bạn có thể bắt đầu tìm kiếm từ một vị trí xác định so với vị trí bắt đầu của gói tin. Sử dụng một con số như là đối số của từ khóa này.
depth

depth: < value>;
Từ khóa depth cũng được sử dụng kết hợp với từ khóa content để xác định giới hạn trên của việc so sánh mẫu. Sử dụng từ khóa này, bạn có thể xác định một vị trí so với vị trí bắt đầu. Dữ liệu sau vị trí này sẽ không được tìm kiếm để so mẫu. Nếu bạn dùng cả hai từ khóa offset và depth thì bạn có thể xác định một khoảng dữ liệu thực hiện việc so sánh mẫu. 


Tiếng anh:
3.5.4 depth
The depth keyword allows the rule writer to specify how far into a packet Snort should search for the specified pattern.
depth modifies the previous ‘content’ keyword in the rule.
A depth of 5 would tell Snort to only look for the specified pattern within the first 5 bytes of the payload.
As the depth keyword is a modifier to the previous ‘content’ keyword, theremust be a content in the rule before ‘depth’
is specified.
Format
depth: <number>;
3.5.5 offset
The offset keyword allows the rule writer to specify where to start searching for a pattern within a packet. offset
modifies the previous ’content’ keyword in the rule.
An offset of 5 would tell Snort to start looking for the specified pattern after the first 5 bytes of the payload.
As this keyword is a modifier to the previous ’content’ keyword, there must be a content in the rule before ’offset’ is
specified.
Format
offset: <number>;
Example
The following example shows use of a combined content, offset, and depth search rule.
alert tcp any any -> any 80 (content: "cgi-bin/phf"; offset:4; depth:20smilie 

conmale wrote:

acti wrote:
Chủ đề này có vẻ được anh conmale quan tâm! Hiện tôi cũng đang có 1 con server bị tấn công ddos.
Hình thức tấn công là:

Gửi gói tin ICMP đến làm nghẽ đường mạng với số lượng là trên 100packets/s.
Đây là hình mình đã monitor lại trong đợt tấn công
http://i198.photobucket.com/albums/aa281/taolaai1112/ddos.jpg

Đây là hình mình đã monitor lại traffic mạng vào lúc đợt tấn công
http://i198.photobucket.com/albums/aa281/taolaai1112/ddos2.png

Trong hình sau có 1 đoạn bw rớt xuống là do mình đặt rule xong rồi gỡ ra.

Nguyên nhân gỡ ra là sau khi dặt rule thì cũng không giải quyết được tình trạng chiếm dụng bw mạng nên mình gỡ ra cho bên phía ISP check lại.

Vì người dos này sử dụng 1 ip tĩnh với đường truyền cao nên phương án hiện nay là mình contact với phía isp nhờ họ giải quyết giủm mà vẫn chưa thấy giải quyết.

Ai có phương pháp có thể suggest cho tôi được không ? 


Tình trạng chiếm dụng bw chỉ có thể được ISP (hoặc nhà cung cấp dịch vụ) giải quyết.

Quản lý của máy chủ chỉ có thể áp dụng biện pháp cản packets đi vô trong server.

Nếu bw không phải là vấn đề thì chỉ cần áp dụng luật drop các ICMP đó là xong. 


Em thấy trong hình có thêm nhiều gói theo giao thức UDP tràn vô, em nghĩ nên chặn thêm giao thức UDP nếu sever không cần sử dụng giao thức này, nếu sever có sử dụng UDP ví dụ như DNS chẳng hạn thì chặn tất cả gói đi vào sử dụng UDP ngoại trừ port 53 (trường hợp nếu dựng DNS server).
Cảm ơn anh nhiều, em đã thử update xinetd và đã "lòi" ra 2 hồ sơ cấu hình trên.
em google với từ khoá như trên thì có đọc RFC863, thì hiểu được là khi vào port 9 của discard nó sẽ như rơi vào khoảng không (null)
Nhưng em không tìm thấy cái cài đặt dịch vụ này. Lật lại trong loạt bài kí sự thì có đoạn sau:

Tôi nhớ trước đây tôi đã tạo dịch vụ discard trên firewall của HVA và đã thử nghiệm qua khoản này nhưng chưa đi sâu bởi vì nạn DDoS x-flash ngày ấy (cuối 2005, đầu 2006) không nhằm mục đích saturate đường dẫn như dạng UDP DDoS lần này. Dịch vụ "discard" chỉ có thể access từ trên chính firewall nên không có gì phải ngại. Hơn nữa, nó được chính firewall bảo vệ. Bởi thế, có lẽ nó vẫn còn đó vì tôi nhớ mình chưa hề tắt bỏ nó.  


Co em hỏi, anh tạo dịch vụ này sao ạ? hoặc nếu có tài liệu gì anh chỉ giúp em với

Cảm ơn anh
Theo ý kiến của mình, hình như bạn hơi sa lầy vào iptables, phụ thuộc nhiều vào nó quá. Nếu mục đích cản lọc của bạn là ở web. Đầu tiên bạn nên kiện toàn ở application trước (cụ thể là lập trình cái web có kiểm tra các giá trị được đưa vào). Sau đó, bạn kiện toàn thêm bằng mod_security cho webserver apache để gia cố thêm bảo mật bằng cản lọc URL, URI chẳng hạn.

Theo mình, iptables nên để chặn ở tầng 3 thật tốt, lên các tầng cao hơn, bạn nên dùng các soft cản lọc tương ứng thì hiệu quả sẽ cao hơn nhiều. Như anh conmale đã nói là kiện toàn bảo mật ở đa tầng (không nhớ chính xác anh nói câu đó từng chữ một, nhưng đại ý là cản lọc ở nhiều tầng, kiện toàn thật tốt ở từng tầng, cố gắng tận dụng chức năng của các soft cho đúng "chuyên môn" của của nó)

panfider wrote:
mình mù về iptable và config server
chi phí nghiên cứu Linux quá cao 

Nghiên cứu linux là "rẻ" nhất rồi, toàn mã nguồn mở mà.
Theo mình thấy, bạn chưa hiểu về nguyên tắc các gói tin đi ra / vào trên mạng. Nói ngắn gọn là thế này:
- INPUT của bạn là từ client đến server
- OUTPUT là từ server đến client

Bạn cấu hình iptables input cho phép client kết nối đến port 25 và 110 như vậy là đúng vì như cấu hình trên thì iptables đã "cho qua" gói tin đến port 25 và 110. Nhưng về OUPUT thì bạn làm sai, client gửi request đến port 25 hoặc 110 của server nhưng port mà client mở ra để "giao lưu" là gì ? nó nằm trong khoảng 1024-65535 (port của client hay gọi là source port trong trường hợp của bạn), như vậy server sẽ trả lời đến máy client đến high-port đó.

Bạn thử cấu hình iptables như vậy xem:

Code:
iptables -A OUPUT -p tcp -m tcp --sport 25 --dport 1024:65535 -j LOG
iptables -A OUPUT -p tcp -m tcp --sport 110 --dport 1024:65535 -j LOG
iptables -A OUPUT -p tcp -m tcp --sport 25 --dport 1024:65535 -j ACCEPT
iptables -A OUPUT -p tcp -m tcp --sport 110 --dport 1024:65535 -j ACCEPT


2 dòng trên chỉ là ghi log lại cho bạn dễ kiểm tra, đây là rules đơn giản thôi, nếu bạn có nhiều card mạng nên (và luôn nên) chỉ ra card output là card nào, input là card nào bằng -o eth0 (hoặc -i eth0 cho input) eth0 là ví dụ.

Bạn có thể dùng tcpdump ghi lại lúc test và dùng wireshack để xem gói tin nó đi như thế nào.

Có gì sai sót, các bạn chỉ giúp nhé
Đúng là có 1 số chổ em vẫn không hiểu rành rẻ lắm. Cảm ơn anh đã chỉ điểm, em vẫn đang cố gắng đọc tài liệu để xung lỗ hổng kiến thức của mình.

apache em để keepAlive off mà anh

Anh giúp em cái phần này với
Hiện giờ cái audit.log của em nó ghi tràn lan hết, em muốn chỉ ghi lại log chỉ những cuộc tấn công thôi thì phải dùng cái nào ạ ?  
Em dùng iptables với rule như sau:
Code:
-A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --sport 1024:65535 --dport 80 ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -d xxx.xxx.xxx.xxx -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 32/sec -m state --state NEW -j ACCEPT
-A INPUT -d xxx.xxx.xxx.xxx -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state ESTABLISHED -j ACCEPT


Kèm theo mod_security với rule như trên chặn trên 2 tầng, anh xem giúp em cấu hình vậy có ổn không ạ ? Có gì cần thay đổi để đối phó tốt với tình huống bị DoS như em đang bị không ?

Em thử dùng 1 tool DoS http vô chính web của mình thì trung bình 1s 1 cú chui vô, đến cú thứ 7 thì bị drop bởi mod_security với error code 403.

Có nên giới hạn thêm -m litmit --limit 32/sec không anh?
Em thử theo cách của anh thì được, không báo lỗi như trước. Em test thử thì nó chặn được nhưng error_log của apache lại phun ra dòng:
Code:
[Mon May 17 10:32:23 2010] [error] [client 118.68.31.30] ModSecurity: Access denied with connection close (phase 1). Operator GT matched 5 at IP:ddos. [file "/etc/httpd/conf/modsecurity/modsec.conf"] [line "10"] [msg "DDoS"] [hostname "accounts.l2tn.net"] [uri "/"] [unique_id "34ImMXsebZIAAFcuHJoAAAAC"]



A giúp em giải thích cái dòng vừa thay vô với. À, còn nó drop ip của em, em tìm thấy trong /tmp/ip.pag
Code:
118.68.31.30__nameip00__key
CREATE_TIME
1274067130UPDATE_COUNTER1ddos1__expire_ddos
1274067730LAST_UPDATE_TIME
1274067130118.68.31.30VT102VT102


Có phải cứ 1 thời gian thì biến ip.ddos nó giảm xuống, IP đó sẽ được nhả ra ạ ?
Hiện giờ cái audit.log của em nó ghi tràn lan hết, em muốn chỉ ghi lại log chỉ những cuộc tấn công thôi thì phải dùng cái nào ạ ?
Chân thành cảm ơn anh

Em mod_security 2.5.12

httpd.conf
Code:
# ================================================= # Basic settings # =================================================
Listen 80
ServerName www.abc.com:80
User apache
Group apache
ServerAdmin <a href="mailto:khanhcan148@gmail.com">khanhcan148@gmail.com</a>
UseCanonicalName Off
ServerSignature On
HostnameLookups Off
ServerTokens OS
ServerRoot "/etc/httpd"
DocumentRoot "/var/www/html"
PidFile run/httpd.pid
#ScoreBoardFile /usr/local/apache2/logs/httpd.scoreboard
<IfModule mod_dir.so>
DirectoryIndex index.html
</IfModule>
<IfModule mod_userdir.c>
UserDir disable
</IfModule>
# ================================================= # HTTP and performance settings # =================================================
Timeout 120
KeepAlive Off
MaxKeepAliveRequests 100
KeepAliveTimeout 15
IndexOptions FancyIndexing VersionSort NameWidth=* HTMLTable
<IfModule prefork.c>
MinSpareServers 5
MaxSpareServers 10
StartServers 5
MaxClients 150
MaxRequestsPerChild 0
</IfModule>
<IfModule worker.c>
StartServers 2
MaxClients 150
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25
MaxRequestsPerChild 0
</IfModule>
<IfModule mod_negotiation.c>
<IfModule mod_include.c>
<Directory "/var/www/error">
AllowOverride None
Options IncludesNoExec
AddOutputFilter Includes html
AddHandler type-map var
Order allow,deny
Allow from all
LanguagePriority en es de fr
ForceLanguagePriority Prefer Fallback
</Directory>
# ErrorDocument 400 /error/HTTP_BAD_REQUEST.html.var
# ErrorDocument 401 /error/HTTP_UNAUTHORIZED.html.var
# ErrorDocument 403 /error/HTTP_FORBIDDEN.html.var
# ErrorDocument 404 /error/HTTP_NOT_FOUND.html.var
# ErrorDocument 405 /error/HTTP_METHOD_NOT_ALLOWED.html.var
# ErrorDocument 408 /error/HTTP_REQUEST_TIME_OUT.html.var
# ErrorDocument 410 /error/HTTP_GONE.html.var
# ErrorDocument 411 /error/HTTP_LENGTH_REQUIRED.html.var
# ErrorDocument 412 /error/HTTP_PRECONDITION_FAILED.html.var
# ErrorDocument 413 /error/HTTP_REQUEST_ENTITY_TOO_LARGE.html.var
# ErrorDocument 414 /error/HTTP_REQUEST_URI_TOO_LARGE.html.var
# ErrorDocument 415 /error/HTTP_UNSUPPORTED_MEDIA_TYPE.html.var
# ErrorDocument 500 /error/HTTP_INTERNAL_SERVER_ERROR.html.var
# ErrorDocument 501 /error/HTTP_NOT_IMPLEMENTED.html.var
# ErrorDocument 502 /error/HTTP_BAD_GATEWAY.html.var
# ErrorDocument 503 /error/HTTP_SERVICE_UNAVAILABLE.html.var
# ErrorDocument 506 /error/HTTP_VARIANT_ALSO_VARIES.html.var
</IfModule>
</IfModule>
<IfModule mod_dav_fs.c>
# Location of the WebDAV lock database.
DAVLockDB /var/lib/dav/lockdb
</IfModule>
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
BrowserMatch "Microsoft Data Access Internet Publishing Provider" wwwect-carefully
BrowserMatch "MS FrontPage" wwwect-carefully
BrowserMatch "^WebDrive" wwwect-carefully
BrowserMatch "^WebDAVFS/1.[0123]" wwwect-carefully
BrowserMatch "^gnome-vfs/1.0" wwwect-carefully
BrowserMatch "^XML Spy" wwwect-carefully
BrowserMatch "^Dreamweaver-WebDAV-SCM1" wwwect-carefully
ForceLanguagePriority Prefer Fallback
AddDefaultCharset UTF-8
AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz
AddHandler type-map var
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip
AddIconByType (TXT,/icons/text.gif) text/*
AddIconByType (IMG,/icons/image2.gif) image/*
AddIconByType (SND,/icons/sound2.gif) audio/*
AddIconByType (VID,/icons/movie.gif) video/*
AddIcon /icons/binary.gif .bin .exe
AddIcon /icons/binhex.gif .hqx
AddIcon /icons/tar.gif .tar
AddIcon /icons/world2.gif .wrl .wrl.gz .vrml .vrm .iv
AddIcon /icons/compressed.gif .Z .z .tgz .gz .zip
AddIcon /icons/a.gif .ps .ai .eps
AddIcon /icons/layout.gif .html .shtml .htm .pdf
AddIcon /icons/text.gif .txt
AddIcon /icons/c.gif .c
AddIcon /icons/p.gif .pl .py
AddIcon /icons/f.gif .for
AddIcon /icons/dvi.gif .dvi
AddIcon /icons/uuencoded.gif .uu
AddIcon /icons/script.gif .conf .sh .shar .csh .ksh .tcl
AddIcon /icons/tex.gif .tex
AddIcon /icons/bomb.gif core
AddIcon /icons/back.gif ..
AddIcon /icons/hand.right.gif README
AddIcon /icons/folder.gif ^^DIRECTORY^^
AddIcon /icons/blank.gif ^^BLANKICON^^
DefaultIcon /icons/unknown.gif
ReadmeName README.html
HeaderName HEADER.html
IndexIgnore .??* *~ *# HEADER* README* RCS CVS *,v *,t
# ================================================= # Access control # =================================================
AccessFileName .htaccess
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>
<Directory />
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
<Directory "/var/www/html">
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
Alias /error/ "/var/www/error/"
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
<Directory "/var/www/cgi-bin">
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>
Alias /icons/ "/var/www/icons/"
<Directory "/var/www/icons">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>
# ================================================= # Load Modules # =================================================
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule auth_digest_module modules/mod_auth_digest.so
LoadModule authn_file_module modules/mod_authn_file.so
LoadModule authn_alias_module modules/mod_authn_alias.so
LoadModule authn_anon_module modules/mod_authn_anon.so
LoadModule authn_dbm_module modules/mod_authn_dbm.so
LoadModule authn_default_module modules/mod_authn_default.so
LoadModule authz_host_module modules/mod_authz_host.so
LoadModule authz_user_module modules/mod_authz_user.so
LoadModule authz_owner_module modules/mod_authz_owner.so
LoadModule authz_groupfile_module modules/mod_authz_groupfile.so
LoadModule authz_dbm_module modules/mod_authz_dbm.so
LoadModule authz_default_module modules/mod_authz_default.so
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
LoadModule include_module modules/mod_include.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule logio_module modules/mod_logio.so
LoadModule env_module modules/mod_env.so
LoadModule ext_filter_module modules/mod_ext_filter.so
LoadModule mime_magic_module modules/mod_mime_magic.so
LoadModule expires_module modules/mod_expires.so
LoadModule deflate_module modules/mod_deflate.so
LoadModule headers_module modules/mod_headers.so
LoadModule usertrack_module modules/mod_usertrack.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule mime_module modules/mod_mime.so
LoadModule dav_module modules/mod_dav.so
LoadModule status_module modules/mod_status.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule info_module modules/mod_info.so
LoadModule dav_fs_module modules/mod_dav_fs.so
LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule dir_module modules/mod_dir.so
LoadModule actions_module modules/mod_actions.so
LoadModule speling_module modules/mod_speling.so
LoadModule userdir_module modules/mod_userdir.so
LoadModule alias_module modules/mod_alias.so
LoadModule rewrite_module modules/mod_rewrite.so
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule cache_module modules/mod_cache.so
LoadModule suexec_module modules/mod_suexec.so
LoadModule disk_cache_module modules/mod_disk_cache.so
LoadModule file_cache_module modules/mod_file_cache.so
LoadModule mem_cache_module modules/mod_mem_cache.so
LoadModule cgi_module modules/mod_cgi.so
LoadModule version_module modules/mod_version.so
LoadModule unique_id_module modules/mod_unique_id.so
LoadModule security2_module modules/mod_security2.so
Include conf/modsecurity/*.conf
Include conf.d/*.conf
# ================================================= # MIME encoding # =================================================
TypesConfig /etc/mime.types
<IfModule mod_mime.so>
AddEncoding x-compress .Z
AddEncoding x-gzip .gz .tgz
AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz
AddType application/x-tar .tgz
</IfModule>
<IfModule mod_mime_magic.so>
# MIMEMagicFile /usr/share/magic.mime
MIMEMagicFile conf/magic
</IfModule>
DefaultType text/plain
# ================================================= # Logs # =================================================
LogLevel warn
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
CustomLog logs/access_log combined
# ================================================= # Virtual hosts # =================================================
<Directory /var/www/html/giamsatluuluong>
Options Indexes Includes FollowSymLinks MultiViews
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>


File modsec.conf

Code:
<IfModule security2_module>
# Turn on rule engine and set default action
SecRuleEngine On
SecAuditLog logs/audit.log
SecDataDir /tmp
SecTmpDir /tmp
SecAction initcol:ip=%{REMOTE_ADDR},nolog
SecRule REQUEST_URI "^/$" "nolog,phase:1,setvar:ip.ddos=+1,deprecatevar:ip.ddos=5/60,expirevar:ip.ddos=600"
SecRule IPsmilieDOS "@gt 5" "phase:1,log,drop,msg:'DDoS'"
</IfModule>


Em bỏ hết các rules, chỉ để rule cho tiện tìm lỗi
File rule của mod security của mình:
Code:
<IfModule security2_module>
# Turn on rule engine and set default action
SecRuleEngine On
SecAuditLog logs/audit.log
SecDataDir /tmp
SecTmpDir /tmp
SecAction initcol:ip=%{REMOTE_ADDR},nolog
SecRule REQUEST_URI "^/$" "nolog,phase:1,setvar:ip.ddos=+1,deprecatevar:ip.ddos=5/60,expirevar:ip.ddos=600"
SecRule IPsmilieDOS "@gt 5" "phase:1,log,drop,msg:'DDoS'"
</IfModule>


Mình tạo 1 file ip.ddos vào /tmp/ip.ddos nhưng nó vẫn báo lỗi như trên. Help
Cảm ơn anh, em luôn cố gắng tìm hiểu ngọn ngành trước khi áp dụng. Nhưng nhiều cái trừu tượng quá nên em vẫn bị lờ mờ.

Một cái mà em gặp là khi xem error log của apache, nó xuất ra:

Code:
[Sun May 16 19:03:06 2010] [error] [client 118.69.64.223] ModSecurity: Could not set variable "ip.ddos" as the collection does not exist. [hostname "accounts.l2tn.net"] [uri "/"] [unique_id "5Ce0@XsebZIAABeyPgMAAAAC"]
[Sun May 16 19:03:06 2010] [error] [client 118.69.64.223] ModSecurity: Could not deprecate variable "ip.ddos" as the collection does not exist. [hostname "accounts.l2tn.net"] [uri "/"] [unique_id "5Ce0@XsebZIAABeyPgMAAAAC"]
[Sun May 16 19:03:06 2010] [error] [client 118.69.64.223] ModSecurity: Could not expire variable "ip.ddos" as the collection does not exist. [hostname "accounts.l2tn.net"] [uri "/"] [unique_id "5Ce0@XsebZIAABeyPgMAAAAC"]


lên google search cái này thì hoài không có. Giúp em với. Cái này có phải lỗi không ? Cách khắc phục như thế nào? Help

conmale wrote:

rongdennt wrote:
Hôm nay mình xem log thì phát hiện bị tấn công DoS. Đoạn log như sau:

Code:
118.69.64.141 - - [13/May/2010:14:06:04 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:09 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:16 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:21 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:26 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:31 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:36 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:41 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:46 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:52 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:57 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:02 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:07 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:12 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:17 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:22 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:27 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:32 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"


Mong mọi ngừoi giúp đỡ. Có phương án nào đỡ được cái này không ? Giúp mình với 


Hôm trước em có tham gia chủ đề mod_security, sao không thử áp dụng nó? 


Thú thật với anh, em có cài mod_sercurity nhưng viết rule cho nó không hoạt động. Nên mạn pháp xin mọi người giúp đoạn rule mẫu cho trường hợp này để em có 1 cái ví dụ cụ thể đặng mà áp dụng và mở mang kiến thức.

Chắc do trình độ tự học còn hạn chế nên ngâm cứu hoài mà không xử lý được tình huống này
Hôm nay mình xem log thì phát hiện bị tấn công DoS. Đoạn log như sau:

Code:
118.69.64.141 - - [13/May/2010:14:06:04 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:09 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:16 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:21 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:26 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:31 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:36 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:41 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:46 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:52 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:06:57 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:02 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:07 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:12 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:17 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:22 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:27 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [13/May/2010:14:07:32 +0700] "GET / HTTP/1.1" 200 1330 "-" "Microsoft URL Control - 6.00.8862"


Mong mọi ngừoi giúp đỡ. Có phương án nào đỡ được cái này không ? Giúp mình với

conmale wrote:

rongdennt wrote:

conmale wrote:
SecRule REQUEST_URI "/index\.php" ---> cái này có nghĩa là gì?

GET /?action=activation&key=48283ea3ec có liên quan gì đến cái ở trên? 


Cái đầu tiên em lấy số lượng request đến index.php. Vì cái GET /?action=activation&key=48283ea3ec thực ra là nó lấy index.php?action=activation&key=48283ea3ec, key là một số ngẫu nhiên. Em nghĩ nó đều phải triệu gọi thông qua index.php nên mới áp dụng cho file index.php.
Không biết suy nghĩ em sai ở điểm nào? nhờ anh chỉ giúp 


Đối với modsecurity, "/?action=activation&key=48283ea3ec" chính là URI. Trong khi đó, dòng luật SecRule REQUEST_URI "/index\.php" thì có URI được ấn định là "/index.php". Bởi vậy, modsecurity sẽ... lờ "/?action=activation&key=48283ea3ec" và không xử lý vì giá trị URI của hai cái hoàn toàn khác nhau.

Để cho luật trên có tác dụng, cần phải đổi thành:
SecRule REQUEST_URI "/\?action=activation"

(để ý có dấu \ nằm trước ? là vì ? là một reverse char của regular expression nên phải "escape" nó - nên nghiên cứu thêm regex thì mới có thể làm việc với mod_security được). 


Cảm ơn anh, e có tìm hiểu regex nên có hiểu đoạn anh nói. Em sẽ thử nghiệm với trường hợp của em để tính toán lại thông số cho thích hợp

conmale wrote:
SecRule REQUEST_URI "/index\.php" ---> cái này có nghĩa là gì?

GET /?action=activation&key=48283ea3ec có liên quan gì đến cái ở trên? 


Cái đầu tiên em lấy số lượng request đến index.php. Vì cái GET /?action=activation&key=48283ea3ec thực ra là nó lấy index.php?action=activation&key=48283ea3ec, key là một số ngẫu nhiên. Em nghĩ nó đều phải triệu gọi thông qua index.php nên mới áp dụng cho file index.php.
Không biết suy nghĩ em sai ở điểm nào? nhờ anh chỉ giúp
Server mình cũng đang có hiện tượng bị DoS
Log như sau:

Code:
118.69.64.141 - - [04/May/2010:22:29:56 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:01 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:06 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:11 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:16 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:21 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:26 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:31 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:36 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:41 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:46 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:51 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:30:56 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:01 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:06 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:11 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:16 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:21 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:26 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:31 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:36 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:41 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:46 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:51 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:31:56 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:01 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:06 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:11 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:16 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:21 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:26 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:31 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"
118.69.64.141 - - [04/May/2010:22:32:36 +0700] "GET /?action=activation&key=48283ea3ec HTTP/1.1" 200 1363 "-" "Microsoft URL Control - 6.00.8862"


Mình đã limit ở iptables nên cứ 5 giây là có 1 chú lọt vào. Tuy không gây ảnh hưởng lớn gì nhưng mình cảm thấy rất khó chịu nên đã cài đặt mod_security. Mình dùng rule cho mod security như sau:

Code:
SecAction initcol:ip=%{REMOTE_ADDR},nolog
SecRule REQUEST_URI "/index\.php" "nolog,phase:1,setvar:ip.ddos=+1,deprecatevar:ip.ddos=2/60,expirevar:ip.ddos=600"
SecRule IPsmilieDOS "@gt 2" "phase:1,log,drop,msg:'DoS'"
SecAuditLog logs/audit.log


Nhờ mọi người giúp đỡ hoàn thiện đoạn rule trong tình hưống này. Chân thành cảm ơn
 
Go to Page:  Page 2 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|