banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Phòng chống DDos vào 1 file trong website.  XML
  [Discussion]   Phòng chống DDos vào 1 file trong website. 03/08/2013 10:14:53 (+0700) | #1 | 277939
sallythanhson
Member

[Minus]    0    [Plus]
Joined: 16/01/2013 19:53:13
Messages: 21
Offline
[Profile] [PM]
Chào các anh chị,

Hiện tại bên em đang có một con server web chạy một số website. Gần đây thường xuyên gặp tình trạng bị ddos http. Tất cả request chỉ tập trung vào 1 trang duy nhất và khiến server overload. Em xin gửi access_log ví dụ:

Code:
68.81.187.227 - - [03/Aug/2013:10:15:54 +0700] "POST /wp-login.php HTTP/1.0" 302 224 "domain.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
67.213.33.36 - - [03/Aug/2013:10:15:54 +0700] "POST /wp-login.php HTTP/1.0" 302 224 "domain.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
216.54.193.66 - - [03/Aug/2013:10:15:55 +0700] "POST /wp-login.php HTTP/1.0" 302 224 "domain.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
97.125.195.191 - - [03/Aug/2013:10:15:56 +0700] "POST /wp-login.php HTTP/1.0" 302 224 "domain.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
182.235.28.92 - - [03/Aug/2013:10:15:56 +0700] "POST /wp-login.php HTTP/1.0" 302 224 "domain.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
108.28.45.85 - - [03/Aug/2013:10:15:56 +0700] "POST /wp-login.php HTTP/1.0" 302 224 "domain.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
67.51.236.50 - - [03/Aug/2013:10:15:57 +0700] "POST /wp-login.php HTTP/1.0" 302 224 "domain.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"


Em có thể xử lý tạm thời bằng cách rename file đó. Em cũng đang sử dụng csf nhưng không thể chống trường hợp này do IP thay đổi liên tục( hoặc do em chưa biết tối ưu csf).

Em xin mọi người góp ý về việc chống cho riêng từng website và nếu có thể, cấu hình để chống trên cả server.

Thông tin server:
php 5.3.26
Mysql 5.5.32

Nếu cần thêm thông tin gì, em sẽ cung cấp thêm cho anh chị. Cám ơn anh chị đã quan tâm.
[Up] [Print Copy]
  [Discussion]   Phòng chống DDos vào 1 file trong website. 03/08/2013 14:35:10 (+0700) | #2 | 277942
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
- Bạn có thể dùng .htaccess để giới hạn lại chỉ cho phép login từ một vài IP nào đó thôi.
- IP thì thay đổi nhưng bạn có để ý là những cái còn lại đều bất biến không. mod_security có thể dựa vào đó kết hợp với tần suất để chặn.

Let's build on a great foundation!
[Up] [Print Copy]
  [Discussion]   Phòng chống DDos vào 1 file trong website. 03/08/2013 15:19:56 (+0700) | #3 | 277944
sallythanhson
Member

[Minus]    0    [Plus]
Joined: 16/01/2013 19:53:13
Messages: 21
Offline
[Profile] [PM]
Cám ơn anh quanta đã góp ý.

Bạn có thể dùng .htaccess để giới hạn lại chỉ cho phép login từ một vài IP nào đó thôi 


Ý kiến của anh cũng là 1 giải pháp trước đây em từng thử nhưng không được linh động cho lắm. Và trong trường hợp file bị request liên tục là index.php thì có cách nào khác không ạ?

- IP thì thay đổi nhưng bạn có để ý là những cái còn lại đều bất biến không. mod_security có thể dựa vào đó kết hợp với tần suất để chặn.  


Hiện tại, server em sử dụng cả mod_security và csf. Tuy nhiên, em không rành về config mod_security cho lắm. Lấy access_log trên làm ví dụ, làm phiền anh quanta có thể config thử để em hiểu thêm không ạ?

Nếu cần thêm thông tin gì thì anh nói để em cung cấp.

Thanks anh,
[Up] [Print Copy]
  [Discussion]   Phòng chống DDos vào 1 file trong website. 03/08/2013 16:02:23 (+0700) | #4 | 277945
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Tham khảo:
- /hvaonline/posts/list/40072.html
- /hvaonline/posts/list/40885.html
Let's build on a great foundation!
[Up] [Print Copy]
  [Discussion]   Phòng chống DDos vào 1 file trong website. 03/08/2013 16:57:04 (+0700) | #5 | 277946
sallythanhson
Member

[Minus]    0    [Plus]
Joined: 16/01/2013 19:53:13
Messages: 21
Offline
[Profile] [PM]
- /hvaonline/posts/list/40072.html
- /hvaonline/posts/list/40885.html 


Oke, thanks anh nhiều. Ngoài ra, em cũng đang tính mua lisence sử dụng cloudlinux thử xem. Anh có kinh nghiệm gì về Cloudlinux không ạ? Nếu có thì anh cảm thấy nó thế nào ạ?
[Up] [Print Copy]
  [Discussion]   Phòng chống DDos vào 1 file trong website. 11/08/2013 16:55:40 (+0700) | #6 | 278069
xwm
Member

[Minus]    0    [Plus]
Joined: 29/08/2011 21:49:17
Messages: 36
Offline
[Profile] [PM]
- Cloudlinux sử dụng LVE (Lightweight Virtual Environments) để phân phát và giới hạn tài nguyên dùng (RAM, CPU, NUMBER PROCCESS) cho các USER. Ví dụ bạn sử dụng share hosting sử dụng Cloudlinux bạn sẽ được cung cấp 1 số lượng RAM, PROCESS nhất định, nếu vượt qua ngưỡng đó -> lỗi 500 hoặc 508, điều này giúp các HP (Hosting Provider) hạn chế mức độ ảnh hưởng từ các site hay bị ddos, các site sử dụng tài nguyên cao (phim. leech) trên server...
- Nếu bạn là ngừoi quản trị server ở mức độ vừa phải, ít user trên server thì không nên sử dung CLN vì có thể gây phí tài nguyên, kinh phí duy trì license... Bạn có thể dùng 30 ngày miễn phí để test tại trang chủ.
[Up] [Print Copy]
  [Discussion]   Phòng chống DDos vào 1 file trong website. 12/08/2013 14:08:04 (+0700) | #7 | 278080
sallythanhson
Member

[Minus]    0    [Plus]
Joined: 16/01/2013 19:53:13
Messages: 21
Offline
[Profile] [PM]

xwm wrote:
- Cloudlinux sử dụng LVE (Lightweight Virtual Environments) để phân phát và giới hạn tài nguyên dùng (RAM, CPU, NUMBER PROCCESS) cho các USER. Ví dụ bạn sử dụng share hosting sử dụng Cloudlinux bạn sẽ được cung cấp 1 số lượng RAM, PROCESS nhất định, nếu vượt qua ngưỡng đó -> lỗi 500 hoặc 508, điều này giúp các HP (Hosting Provider) hạn chế mức độ ảnh hưởng từ các site hay bị ddos, các site sử dụng tài nguyên cao (phim. leech) trên server...
- Nếu bạn là ngừoi quản trị server ở mức độ vừa phải, ít user trên server thì không nên sử dung CLN vì có thể gây phí tài nguyên, kinh phí duy trì license... Bạn có thể dùng 30 ngày miễn phí để test tại trang chủ. 


Thanks bạn vì thông tin. Mình đang xài thử và thấy cũng khá oke. Việc 1 site bị tấn công không ảnh hưởng đến những site còn lại trên server.

Tuy nhiên, vẫn đang nghiên cứu vụ mod_security anh quanta cung cấp để tìm ra giải pháp triệt để hơn.
[Up] [Print Copy]
  [Discussion]   Phòng chống DDos vào 1 file trong website. 13/08/2013 19:05:49 (+0700) | #8 | 278097
[Avatar]
__ikaZuchi
Member

[Minus]    0    [Plus]
Joined: 27/05/2012 22:34:00
Messages: 51
Offline
[Profile] [PM]
Hi, nhìn thấy file login mình lại có ý thế này: bạn dùng hàm microtime test thử xem đoạn code của bạn từ lúc gửi thông tin, đến lúc truy vấn mysql và cho kết quả trả về thì mất bao lâu? Xong lấy 1s chia cho thời gian này sẽ tính ra được server chịu được bao nhiêu request smilie
When the limit is reached, the thunder will appear
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|