Messages posted by: levinthan

Vâng . Đúng là em config Apache không đầy đủ thật . Em đã nghiên cứu và config các giá trị MaxClients, MaxRequestsPerChild, MaxKeepAliveRequests và KeepAliveTimeout lại rồi nhưng vẫn bị . Nhưng việc em bị flood thì hoàn toàn là sự thật vì trước giờ không bị gì , gần đây bị ghét nên vậy . Và ban đêm hoặc ngay cả các giờ cao điểm , các giờ mà số lượng người truy cập vào đông cũng không bị tình trạng vậy . Nó xảy ra rất là ngẫu nhiên, vào các thời điểm không cố định , chứ không phải bị theo số người truy cập . Băng thông của em ít thật nhưng với lượng người truy cập chỉ là vài chục thì có đến tình trạng đó không. Em tìm đến HVA nhờ giúp đỡ cũng vì em bế tắc rồi . Anh nói vậy thì em đành chịu . Thôi thì cảm ơn anh đã nhiệt tình giúp đỡ em trong các bài vừa rồi . Chúc anh vui vẻ .

http://stukyo.com/b.swf

Đây là flash video ghi lại quá trình bị flood.

Hic . Như mình đã đưa http://stukyo.com/httpd.conf lên , mình chưa config các thông số như bạn nói . Chỉ có MaxRequestsPerChild 0 là default. Mình có thể tìm kiếm và thêm các thông số đó vào được . Nhưng không biết thông số nào là phù hợp . Bạn có thể cho mình biết với tình trạng server của mình thì nên dùng thông số là bao nhiêu không ? Như mình đã nói , mình bị flood rất nhẹ , rất đều đều. Mình sẽ dùng chương trình quay phim lại cho bạn xem nhé .

Mình tính dùng cái này apply vào web :http://www.white-hat-web-design.co.uk/articles/php-captcha.php . Mọi người cho ý kiến thử xem

Cảm ơn mR.Bi . Đang là 12:49 AM . Đợi comale giúp thì có mR.Bi trả lời . Vui quá . Mình thử phân tích log apache server và log ISA nhưng không tìm được đầu mối smilie

. Thật ra mình đâu có gì đâu mà giấu . File conf của Apache mình đã post từ bài trên rồi http://stukyo.com/httpd.conf.
Có cả conf mod security và evasive ở trên luôn . Còn rule của ISA thì như mình đã nói , mình chỉ mở publish web 80 , đưa về port đúng port apache server cho máy webserver, publish thêm 44405 , 55901 cho game . Outbound cho 2 máy internal ra ngoài ( máy mình xài để chat chiếc , mở web chơi , không đụng gì đến server web và game cả ) . Chứ post rule thì mình cũng không biết phải post thế nào , chụp màn hình Configuration firewall của ISA thì đâu thấy được cụ thể các protocol bên trong smilie

. Nhưng mình nghĩ ISA đã OK . Vấn đề ở đây là apache của mình thôi . Mình thử dùng chức năng HTTP FILTER của ISA nhưng không được . Đến cả nguyên cái web của mình đã đổi thành web khác , người khác viết , xóa hết , thay nguyên cái web mới vào cũng bị tiếp . Mình mới bước chân vào lĩnh vực này nên chưa có kinh nghiệm nhiều , chưa biết nhiều tools. Bạn có thể nói cụ thể tools nào ,tên gì , dùng để làm gì để mình tìm được không. Còn log hay mọi thông tin bạn cần mình đều có thể cung cấp được . Ngay cả việc remote server mình để xem = remote administrator . Hoặc đến nhà mình giúp . Xin hậu tạ luôn. Mình ở TPHCM . Q Tân Bình . Bị 3 tuần nay . Khổ sổ lắm rồi . Huhu . cảm ơn bạn mR.Bi đã giúp .

Mình có gửi lên đây file mà ISA monitor được ngay vào thời điểm bị flood . Mình monitor port 80 ( web out ) và 15212 ( web in ) . http://stukyo.com/isamonitor.xls
Các IP trong file log :
IP 192.168.1.10 : card mạng Internal của máy ISA
IP 192.168.1.9 : card mạng External của máy ISA
IP 192.168.1.3 : IP máy chạy WebServer
IP 192.168.1.11 : Client internal

conmale wrote:

Dùng một công cụ để lọc ra hết các request đi từ IP: 203.210.251.123 rồi xem kỹ thì sẽ thấy các điểm đáng ngờ.

Tôi không thể login bằng username + pass bạn gởi nên không thể xác định các modules được dùng sâu hơn.

PS: bây giờ đi nhậu một phát cái đã. Có thể ngày mai online lại.

Ọc . Mình vào được mà . Bạn mở my computer ra ,gõ vào ftp.servage.net . Full là ftp://ftp.servage.net/ chứ không phải ftp://servage.net/ nhé smilie

Bạn ráng giúp mình nhé . Mình cầu cứu nhiều lắm rồi mà không được . Bản thân mình từ lúc bị flood đến nay đã nghiên cứu nhiều lắm , cài mấy mod cho apache ,firewall, .htaccesss , isa , ... nhưng vẫn chịu thua .

Có main.php?op=user . Đây là module mà người chơi đăng nhập vào web để quản lý tài khoản của mình . Game của mình là MU , có reset nhân vật sau mỗi lần luyện nên một tiếng có vài chục người truy cập vào để reset nhân vậtt. Nói thế chứ bạn đừng nghĩ là do vậy nên mình tưởng là flood vì trước đây người chơi đông gấp 2 lần giờ luôn . Không bị gì . Giờ vắng lắm mà bị . Vì bữa mình có khóa acc của vài người cheat . Họ nói họ sẽ báo thù , hãy canh chừng hacker smilie

.

Hiện tại nó đang flood nên đành phải stop publish web , đợi một tí mới mở lại xem xem hết chưa . Chưa hết lại phải off tiếp smilie

.
Hôm nay mình nhận thấy thêm một thông tin : Nếu mình stop service của apache thì game hết báo recvQ ngay nhưng sau khi start lại service thì sẽ tiếp tục báo recvQ lại khoảng vài chục cái . Đây có lẽ là " tàn dư" . Mình nghĩ cho dù stop service , tín hiệu flood vẫn còn nằm trong apache server , start service lên , nó chạy vào lại game vài chục cái rồi mới xong.

Cảm ơn bạn comale đã trả lời. Do khi bị flood , mình thấy nó flood lên cao quá nên có tắt publish để ngắt đi . Nhiều khi do đó nên apache không lưu log hoặc gì đó khiến bạn không thể phân tích . Mình đã gửi lại cho bạn 1 file access.log và log của game mới vào sáng ngày 26 . Ngủ trưa mới dậy thì thấy nó flood ngút trời từ lúc 8g50 đến 9g10 và 10g50 đến 11g10 . Thời gian dài như thế này hi vọng bạn có thể xem được . Bạn chú ý giùm mình điểm này : Khi bị flood : Gameserver sẽ báo RecvQ Count tăng lên từ từ . Tăng đến một mức nào đó tùy theo flooder thì sẽ được nhả ra hết. Lúc này thì mới được lưu vào log . Ví dụ lần flood thứ 2 , xem log thì thấy là từ lúc 10g50 nhưng trên thật tế thì có lẽ đã nhận được từ trước đó smilie

HIc . Mình dùng line VNN 4MB. Cấu hình máy mạnh lắm . Xeon 2g4 . Ram 4g . Hdd 200gb . lúc bị flood , CPU và RAM không hề bị quá tải . Chỉ có apache server thôi .

Mod comale ơi , giúp mình với. Mình F5 sau mỗi 2 3 phút từ trưa giờ rồi smilie

Mình đã xem log nhưng không phát hiện được điểm nào đáng ngờ . Mong các bạn chỉ giúp.

Mình xin bổ sung thêm log file apache mới . Vừa bị flood thêm nữa vào lúc 8g00 PM và 8g08PM http://stukyo.com/newaccess.log

Rất cảm ơn bạn đã nhiệt tình giúp đỡ . Mình đã config lại ISA và đây là log apache chiều ngày 25/01 với IP cụ thể từ client. http://stukyo.com/access.log

Các thời điểm bị tấn công mà mình canh được:
5g45pm
5g48pm
6g02pm
6g08pm
6g23pm
6g28pm
6g53pm
6g54pm
6g56pm

Đây là thời điểm mà game báo là bị flood . Bạn có thể xem qua file này , đây là log của game . Những nơi nào có dòng RecvQ Count là vào thời điểm đó đang bị flood . http://stukyo.com/20080125.log

Tuy nhiên , mình nghĩ các packet flood mà game nhận phải được gửi vào apache trước đó vài chục giây hoặc 1 , 2 phút vì nếu mình STOP Service apache thì flood ngưng ngay , nhưng nếu stop publish web hoặc stop publish method GET thì phải đợi vài chục giây sau . Dường như là Game còn phải ... nhận cho hết các packet flood thì mới ngưng được.
Đây là file conf của apache server mình đã config lại theo ý bạn , không biết có sai sót gì không , mời bạn xem qua.
http://stukyo.com/httpd.conf

Chân thành cảm ơn.

Mình đã tắt hết Netbios của tất cả các máy Internal , Disable outbound hết nhưng vẫn bị . Change port của Webserver liên tục luôn rồi smilie

Đây là conf của evasive :

<IfModule dosevasive22_module>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 10
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 120
</IfModule>

Đây là conf của security

SecRuleEngine On
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
SecFilterSelective "ARG_recipient" "!@modsecurity\.org$"
SecFilterSelective "ARG_recipient" "!@modsecurity\.org$"
SecFilterSelective OUTPUT "Volume Serial Number"
SecFilterSelective OUTPUT "Command completed"
SecFilterSelective OUTPUT "Bad command or filename"
SecFilterSelective OUTPUT "file(s) copied"
SecFilterSelective OUTPUT "Index of /cgi-bin/"
SecFilterSelective OUTPUT ".*uid\=\("
SecAuditLog logs/audit.log
SecFilterDebugLog logs/modsec.log
SecFilterDebugLevel 1
SecFilterScanPOST On
SecFilter /etc/password
SecFilter /bin/ls
SecFilter "\.\./"
SecFilterForceByteRange 32 126

Cảm ơn bạn đã giúp đỡ.

Đây là log của Game . Mỗi khi nó báo RecvQ là lúc đó đang bị flood. http://stukyo.com/20080124.log

Theo file log đó thì đầu giờ sáng ngày 24 là đang bị .

Đây là file access log của apache server ngày hôm đó : http://stukyo.com/access.log
Do mình chỉnh ISA nhầm nên log này chỉ nhận IP internal của ISA , không hiểu IP thật từ client . Mình sẽ sửa lại sau . Nếu được mình sẽ update lại log ngày 25 cho bạn xem.

Đây là report của ISA tạo ngày 24 : http://stukyo.com/ISAreport.rar

Đọc file log của apacheserver thì mình thấy đầu giờ sáng có những dòng này đáng nghi , không biết phải không :
192.168.1.10 - - [23/Jan/2008:23:59:15 +0700] "GET /home/ HTTP/1.1" 500 13019
192.168.1.10 - - [23/Jan/2008:23:59:23 +0700] "GET /home/ HTTP/1.1" 500 13019
192.168.1.10 - - [23/Jan/2008:23:59:25 +0700] "GET /home/ HTTP/1.1" 500 13019
192.168.1.10 - - [23/Jan/2008:23:59:26 +0700] "GET /home/ HTTP/1.1" 500 13019
192.168.1.10 - - [23/Jan/2008:23:59:27 +0700] "GET /home/ HTTP/1.1" 500 13019

Đối phương flood mình không dồn dập . Không phải là cả ngàn tin cùng lúc . Mình nghĩ vậy . Modem không bị gì . Appserv không bị restart , không bị stop . Chỉ ảnh hưởng đến Game . Nếu ngưng flood thì mọi thứ sẽ trở lại bình thường. Có điều là lúc này các kết nối đến game đều đã bị ngắt hết rồi. Cụ thể là trong 1 giây , Game sẽ nhận được khoảng 5 cái RecvQ. Có lúc ít hơn nữa . nhưng càng ngày càng tăng , không giảm nên không chữa được luôn. Mong các bạn xem giúp.
Nếu bạn cần chi tiết cụ thể , mình sẽ monitor port 80 ở ngoài và port web của apache server cho các bạn xem. Xin cảm ơn.

Chào mọi người.

Mình có một vấn đề , mong mọi người bỏ chút thời gian ra đọc và giúp đỡ.

Mình có làm một server GameOnline MU nho nhỏ. Mình đã mở port 44405 cho GameConnectServer ( người chơi kết nối vào ) , port 55901 cho GameMainServer , port 80 cho Web.

Tất cả liên quan đến Game mình chạy trên 1 máy . Webserver trên 1 máy . 2 máy này đứng sau ISA 2006.

Về máy chạy GameServer :
Cài Comodo Firewall Pro 3 , MSSQL 2000 SP 4 .
Chạy 7,8 cái program chạy server (ConnectServer,ExternalData,Data,JoinServer,GameServer,...) trong đó , mỗi khi bị flood thì Joinserver nhận được các lỗi sau :

1114a [dasxv] (222.253.205.187) User Login
RecvQ Count : 279
RecvQ Count : 278
RecvQ Count : 277
RecvQ Count : 276
RecvQ Count : 276
RecvQ Count : 275
1118a [flowea] (222.253.205.187) User Login
RecvQ Count : 278
RecvQ Count : 277
RecvQ Count : 276
RecvQ Count : 275
RecvQ Count : 274
RecvQ Count : 273
RecvQ Count : 272
RecvQ Count : 271
RecvQ Count : 270
1122a [contnue] (222.254.31.212) User Login

Những lúc bị như thế này thì cả hệ thống máy GameServer đều bị lag , hoạt động rất chậm , game gần như không hoạt động được nữa.Mình thử nghiên cứu thì nhận thấy mỗi khi RecvQ đang bị flood lên , mình tắt ngay Apache Service là hết bị .

Về máy chạy Apache Server : Chạy Apache bản mới nhất 2.2.8 port 47421 , PHP mới nhất , đã add 2 mod : mod_security và mod_evasive đều mới nhất , Login box bằng .htaccess

Về máy ISA: Chạy ISA 2006 , config đủ thứ : Chỉ mở 2 port 44405,55901 , không mở Outbound luôn. Publish web port 80 dẫn về port 47421 của máy chạy Apache Server. Config limit TCP , UDP , HTTP REQUEST per second.

Tất cả các máy đều chạy Windows Server 2003 SP 2 , đã được tắt NetBios service , disable port 137,138,139,445.

Với cách config trên của mình thì có thể xác định 100% là bị đánh vào qua Webserver. mình đã thử monitor các port 80 , 47421 , thậm chí là các port 44405 , 55901 nhưng vẫn không phát hiện được vấn đề. Chuyển qua HTTP policy của ISA . Mình thử disable hết các HTTP methods, chỉ dùng GET thôi thì vẫn bị , nhưng disable GET , mở các mothod còn lại thì không bị . Như vậy là bị GET. mình đã bị gần 3 tuần nay . Thử đủ phương pháp nhưng vẫn không phòng được . Cứ 7 8 giờ sáng là hắn thức , hắn phá cho đến tối khuya. Chỉ khi nào mình stop service Apache hoặc bỏ publish web hoặc disable method GET thì không bị . Nhưng những lúc đó thì web của mình cũng off luôn. smilie

Mong các bạn chỉ giúp cách nào có thể cải thiện được tình hình hiện tại.