English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Website bị DDoS, có phải là do botnet ko?  XML
  [Question]   Website bị DDoS, có phải là do botnet ko? 18/07/2010 01:52:31 (+0700) | #1 | 215616
Monkey.D.Luffy
Member
[Minus]    0    [Plus]
Joined: 22/07/2009 10:18:18
Messages: 9
Location: @
Offline
[Profile] [PM]
Hi mợi người,
Tình hình là website của em mấy ngày nay cứ bị ai phá mà httpd cứ bị down, em nghĩ là do bị DDoS.
Thử netstat rồi grep port 80 thì ra kết quả như hình sau: (list này dài quá, chỉ post lên 2 tấm cho các anh xem)







Khi tail cái access_log thì nhận được thế này, dài phải nói là mút chỉ:




Con tail thằng error_log thì nhận được cái error:

[Sat Jul 17 14:45:11 2010] [error] server reached MaxClients setting, consider raising the MaxClients setting  


Em đã chỉnh MaxClients lên 500 rồi mà vẫn phải cái error đáng yêu này smilie Với lại em dung Iptables block hết IP ở trển rồi mà nó vẫn trơ trơ.

Lạ 1 điều là CPU chẳng load 1 tẹo gì cả:
15:47:49 up 4:42, 1 user, load average: 0.00, 0.00, 0.00 


Anh nào giúp em giải quyết vấn đề này với? Anh conmale cho em cái yahoo xin chỉ giáo với smilie

Thân.
[Up] [Print Copy]
  [Question]   Website bị DDoS, có phải là do botnet ko? 18/07/2010 07:09:56 (+0700) | #2 | 215617
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
- Về thông báo "internal dummy connection" bạn có thể đọc cái này: http://wiki.apache.org/httpd/InternalDummyConnection

- Bạn chạy httpd -l và gửi kết quả lên

- Bạn thảy đoạn cấu hình trong 2 section workerprefork lên
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Website bị DDoS, có phải là do botnet ko? 18/07/2010 10:38:43 (+0700) | #3 | 215626
Monkey.D.Luffy
Member
[Minus]    0    [Plus]
Joined: 22/07/2009 10:18:18
Messages: 9
Location: @
Offline
[Profile] [PM]

quanta wrote:
- Về thông báo "internal dummy connection" bạn có thể đọc cái này: http://wiki.apache.org/httpd/InternalDummyConnection 


Cái này mình đã đọc rồi và cũng đã làm theo hướng dẫn của nó nhưng vẫn xuất hiện error đó, cụ thể như sau:
- thêm vào httpd.conf:
Code:
SetEnvIf Remote_Addr "127\.0\.0\.1" loopback
CustomLog logs/access_log combined env=!loopback


- còn trong .htaccess thêm:
Code:
RewriteCond %{HTTP_USER_AGENT} ^.*internal\ dummy\ connection.*$ [NC]
RewriteRule .* - [F,L]



- Bạn chạy httpd -l và gửi kết quả lên 


-------->
Code:
Compiled in modules:
  core.c
  prefork.c
  http_core.c
  mod_so.c



- Bạn thảy đoạn cấu hình trong 2 section workerprefork lên 


--------->
Code:
<IfModule prefork.c>
StartServers       8
MinSpareServers    5
MaxSpareServers   20
ServerLimit      500
MaxClients       500
MaxRequestsPerChild  4000
</IfModule>

<IfModule worker.c>
StartServers         2
MaxClients         150
MinSpareThreads     25
MaxSpareThreads     75
ThreadsPerChild     25
MaxRequestsPerChild  0
</IfModule>
[Up] [Print Copy]
  [Question]   Website bị DDoS, có phải là do botnet ko? 19/07/2010 10:07:23 (+0700) | #4 | 215719
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
@Monkey.D.Luffy: Bạn có thể tham khảo topic này: /hvaonline/posts/list/32354.html
và gửi các thông tin liên quan lên:

netstat -natp | grep httpd | grep SYN_RECV | wc -l

cat /proc/sys/net/ipv4/tcp_syncookies

cat /proc/sys/net/ipv4/tcp_synack_retries

cat /proc/sys/net/ipv4/tcp_max_syn_backlog


Monkey.D.Luffy wrote:

Cái này mình đã đọc rồi và cũng đã làm theo hướng dẫn của nó nhưng vẫn xuất hiện error đó, cụ thể như sau:
- thêm vào httpd.conf:
Code:
SetEnvIf Remote_Addr "127\.0\.0\.1" loopback
CustomLog logs/access_log combined env=!loopback

 

Mình chỉ lưu ý bạn cái này không phải là lỗi, còn việc bạn chưa loại bỏ được nó trong access_log thì thử kiểm tra kỹ lại xem.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Website bị DDoS, có phải là do botnet ko? 20/07/2010 19:38:11 (+0700) | #5 | 215836
Monkey.D.Luffy
Member
[Minus]    0    [Plus]
Joined: 22/07/2009 10:18:18
Messages: 9
Location: @
Offline
[Profile] [PM]
Tham khảo topic kia rồi cũng ko ăn thua bạn à, SYN_RECV vẫn ngập lụt server

cat /proc/sys/net/ipv4/tcp_syncookies  


----->
Code:
1


cat /proc/sys/net/ipv4/tcp_synack_retries  


------>
Code:
5


cat /proc/sys/net/ipv4/tcp_max_syn_backlog  


------>
Code:
1024


netstat -anp | grep httpd | wc -l 


------>
Code:
12
[Up] [Print Copy]
  [Question]   Website bị DDoS, có phải là do botnet ko? 20/07/2010 20:03:38 (+0700) | #6 | 215838
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

Monkey.D.Luffy wrote:
Tham khảo topic kia rồi cũng ko ăn thua bạn à, SYN_RECV vẫn ngập lụt server
 

Có chắc iptables đã chặn được chưa?

Monkey.D.Luffy wrote:

cat /proc/sys/net/ipv4/tcp_synack_retries  


------>
Code:
5

 

Thử giảm giá trị này xuống 1.

Monkey.D.Luffy wrote:

cat /proc/sys/net/ipv4/tcp_max_syn_backlog  


------>
Code:
1024

 

Thử tăng backlog lên.

Monkey.D.Luffy wrote:

netstat -anp | grep httpd | wc -l 


------>
Code:
12
 

Thiếu grep SYN_RECV rồi, đếm số processes httpd thì có tác dụng gì đâu.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Website bị DDoS, có phải là do botnet ko? 22/07/2010 17:08:35 (+0700) | #7 | 216027
huyannet
Member
[Minus]    0    [Plus]
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
[Profile] [PM]
Mình không có kinh nghiệm trong lĩnh vực này lắm, nhưng mình có 1 giả thiết:
Bạn bị DDos từ nhiều luồng khác nhau. Mà từ nhiều luồng thì làm sao chặn hết IP được.

Chẳng hạn như trường hợp Attacker DDos HVA bằng cách chèn 1 file flash có chứa code truy xuất đến server, sau đó post lên các diễn đàn lớn....
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|