<![CDATA[Latest posts for the topic "Flood Apache Webserver."]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Flood Apache Webserver. 1114a [dasxv] (222.253.205.187) User Login RecvQ Count : 279 RecvQ Count : 278 RecvQ Count : 277 RecvQ Count : 276 RecvQ Count : 276 RecvQ Count : 275 1118a [flowea] (222.253.205.187) User Login RecvQ Count : 278 RecvQ Count : 277 RecvQ Count : 276 RecvQ Count : 275 RecvQ Count : 274 RecvQ Count : 273 RecvQ Count : 272 RecvQ Count : 271 RecvQ Count : 270 1122a [contnue] (222.254.31.212) User Login  Những lúc bị như thế này thì cả hệ thống máy GameServer đều bị lag , hoạt động rất chậm , game gần như không hoạt động được nữa.Mình thử nghiên cứu thì nhận thấy mỗi khi RecvQ đang bị flood lên , mình tắt ngay Apache Service là hết bị . Về máy chạy Apache Server : Chạy Apache bản mới nhất 2.2.8 port 47421 , PHP mới nhất , đã add 2 mod : mod_security và mod_evasive đều mới nhất , Login box bằng .htaccess Về máy ISA: Chạy ISA 2006 , config đủ thứ : Chỉ mở 2 port 44405,55901 , không mở Outbound luôn. Publish web port 80 dẫn về port 47421 của máy chạy Apache Server. Config limit TCP , UDP , HTTP REQUEST per second. Tất cả các máy đều chạy Windows Server 2003 SP 2 , đã được tắt NetBios service , disable port 137,138,139,445. Với cách config trên của mình thì có thể xác định 100% là bị đánh vào qua Webserver. mình đã thử monitor các port 80 , 47421 , thậm chí là các port 44405 , 55901 nhưng vẫn không phát hiện được vấn đề. Chuyển qua HTTP policy của ISA . Mình thử disable hết các HTTP methods, chỉ dùng GET thôi thì vẫn bị , nhưng disable GET , mở các mothod còn lại thì không bị . Như vậy là bị GET. mình đã bị gần 3 tuần nay . Thử đủ phương pháp nhưng vẫn không phòng được . Cứ 7 8 giờ sáng là hắn thức , hắn phá cho đến tối khuya. Chỉ khi nào mình stop service Apache hoặc bỏ publish web hoặc disable method GET thì không bị . Nhưng những lúc đó thì web của mình cũng off luôn. :-S Mong các bạn chỉ giúp cách nào có thể cải thiện được tình hình hiện tại.]]> /hvaonline/posts/list/18838.html#112064 /hvaonline/posts/list/18838.html#112064 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112075 /hvaonline/posts/list/18838.html#112075 GMT Re: Flood Apache Webserver. http://stukyo.com/20080124.log Theo file log đó thì đầu giờ sáng ngày 24 là đang bị . Đây là file access log của apache server ngày hôm đó : http://stukyo.com/access.log Do mình chỉnh ISA nhầm nên log này chỉ nhận IP internal của ISA , không hiểu IP thật từ client . Mình sẽ sửa lại sau . Nếu được mình sẽ update lại log ngày 25 cho bạn xem. Đây là report của ISA tạo ngày 24 : http://stukyo.com/ISAreport.rar Đọc file log của apacheserver thì mình thấy đầu giờ sáng có những dòng này đáng nghi , không biết phải không : 192.168.1.10 - - [23/Jan/2008:23:59:15 +0700] "GET /home/ HTTP/1.1" 500 13019 192.168.1.10 - - [23/Jan/2008:23:59:23 +0700] "GET /home/ HTTP/1.1" 500 13019 192.168.1.10 - - [23/Jan/2008:23:59:25 +0700] "GET /home/ HTTP/1.1" 500 13019 192.168.1.10 - - [23/Jan/2008:23:59:26 +0700] "GET /home/ HTTP/1.1" 500 13019 192.168.1.10 - - [23/Jan/2008:23:59:27 +0700] "GET /home/ HTTP/1.1" 500 13019 Đối phương flood mình không dồn dập . Không phải là cả ngàn tin cùng lúc . Mình nghĩ vậy . Modem không bị gì . Appserv không bị restart , không bị stop . Chỉ ảnh hưởng đến Game . Nếu ngưng flood thì mọi thứ sẽ trở lại bình thường. Có điều là lúc này các kết nối đến game đều đã bị ngắt hết rồi. Cụ thể là trong 1 giây , Game sẽ nhận được khoảng 5 cái RecvQ. Có lúc ít hơn nữa . nhưng càng ngày càng tăng , không giảm nên không chữa được luôn. Mong các bạn xem giúp. Nếu bạn cần chi tiết cụ thể , mình sẽ monitor port 80 ở ngoài và port web của apache server cho các bạn xem. Xin cảm ơn.]]> /hvaonline/posts/list/18838.html#112129 /hvaonline/posts/list/18838.html#112129 GMT Re: Flood Apache Webserver. <IfModule dosevasive22_module> DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 10 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 120 </IfModule>   Đây là conf của security
SecRuleEngine On SecFilter xp_enumdsn SecFilter xp_filelist SecFilter xp_availablemedia SecFilter xp_cmdshell SecFilter xp_regread SecFilter xp_regwrite SecFilter xp_regdeletekey SecFilterSelective "ARG_recipient" "!@modsecurity\.org$" SecFilterSelective "ARG_recipient" "!@modsecurity\.org$" SecFilterSelective OUTPUT "Volume Serial Number" SecFilterSelective OUTPUT "Command completed" SecFilterSelective OUTPUT "Bad command or filename" SecFilterSelective OUTPUT "file(s) copied" SecFilterSelective OUTPUT "Index of /cgi-bin/" SecFilterSelective OUTPUT ".*uid\=\(" SecAuditLog logs/audit.log SecFilterDebugLog logs/modsec.log SecFilterDebugLevel 1 SecFilterScanPOST On SecFilter /etc/password SecFilter /bin/ls SecFilter "\.\./" SecFilterForceByteRange 32 126  
]]>
/hvaonline/posts/list/18838.html#112130 /hvaonline/posts/list/18838.html#112130 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112131 /hvaonline/posts/list/18838.html#112131 GMT Re: Flood Apache Webserver. Code:
LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" combined
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" combined_forwarded
2) Xác định biến nếu proxy được dùng: Code:
SetEnvIfNoCase X-Forwarded-For "." from_proxy=1
3) Ấn định dạng log: Code:
CustomLog /path/to/access.log combined env=!from_proxy
CustomLog /path/to/access.log combined_forwarded env=from_proxy
Sau đó restart lại apache và theo dõi rồi cung cấp log mới thì mới có thể phân tích được.]]>
/hvaonline/posts/list/18838.html#112178 /hvaonline/posts/list/18838.html#112178 GMT
Re: Flood Apache Webserver. http://stukyo.com/access.log Các thời điểm bị tấn công mà mình canh được: 5g45pm 5g48pm 6g02pm 6g08pm 6g23pm 6g28pm 6g53pm 6g54pm 6g56pm Đây là thời điểm mà game báo là bị flood . Bạn có thể xem qua file này , đây là log của game . Những nơi nào có dòng RecvQ Count là vào thời điểm đó đang bị flood . http://stukyo.com/20080125.log Tuy nhiên , mình nghĩ các packet flood mà game nhận phải được gửi vào apache trước đó vài chục giây hoặc 1 , 2 phút vì nếu mình STOP Service apache thì flood ngưng ngay , nhưng nếu stop publish web hoặc stop publish method GET thì phải đợi vài chục giây sau . Dường như là Game còn phải ... nhận cho hết các packet flood thì mới ngưng được. Đây là file conf của apache server mình đã config lại theo ý bạn , không biết có sai sót gì không , mời bạn xem qua. http://stukyo.com/httpd.conf Chân thành cảm ơn.]]> /hvaonline/posts/list/18838.html#112217 /hvaonline/posts/list/18838.html#112217 GMT Re: Flood Apache Webserver. http://stukyo.com/newaccess.log]]> /hvaonline/posts/list/18838.html#112228 /hvaonline/posts/list/18838.html#112228 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112231 /hvaonline/posts/list/18838.html#112231 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112256 /hvaonline/posts/list/18838.html#112256 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112263 /hvaonline/posts/list/18838.html#112263 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112267 /hvaonline/posts/list/18838.html#112267 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112269 /hvaonline/posts/list/18838.html#112269 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112311 /hvaonline/posts/list/18838.html#112311 GMT Re: Flood Apache Webserver. user không? Ví dụ, request đi đến: /home/main.php?op=user]]> /hvaonline/posts/list/18838.html#112320 /hvaonline/posts/list/18838.html#112320 GMT Re: Flood Apache Webserver. 203.210.251.123 rồi xem kỹ thì sẽ thấy các điểm đáng ngờ. Tôi không thể login bằng username + pass bạn gởi nên không thể xác định các modules được dùng sâu hơn. PS: bây giờ đi nhậu một phát cái đã. Có thể ngày mai online lại.]]> /hvaonline/posts/list/18838.html#112327 /hvaonline/posts/list/18838.html#112327 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112328 /hvaonline/posts/list/18838.html#112328 GMT Re: Flood Apache Webserver.

conmale wrote:
Dùng một công cụ để lọc ra hết các request đi từ IP: 203.210.251.123 rồi xem kỹ thì sẽ thấy các điểm đáng ngờ. Tôi không thể login bằng username + pass bạn gởi nên không thể xác định các modules được dùng sâu hơn. PS: bây giờ đi nhậu một phát cái đã. Có thể ngày mai online lại. 
Ọc . Mình vào được mà . Bạn mở my computer ra ,gõ vào ftp.servage.net . Full là ftp://ftp.servage.net/ chứ không phải ftp://servage.net/ nhé :| Bạn ráng giúp mình nhé . Mình cầu cứu nhiều lắm rồi mà không được . Bản thân mình từ lúc bị flood đến nay đã nghiên cứu nhiều lắm , cài mấy mod cho apache ,firewall, .htaccesss , isa , ... nhưng vẫn chịu thua .]]>
/hvaonline/posts/list/18838.html#112329 /hvaonline/posts/list/18838.html#112329 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112348 /hvaonline/posts/list/18838.html#112348 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112446 /hvaonline/posts/list/18838.html#112446 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112450 /hvaonline/posts/list/18838.html#112450 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112465 /hvaonline/posts/list/18838.html#112465 GMT Re: Flood Apache Webserver.

levinthan wrote:
Mình tính dùng cái này apply vào web :http://www.white-hat-web-design.co.uk/articles/php-captcha.php . Mọi người cho ý kiến thử xem  
Captchar cho mọi trang? Xem logs của bồ, nếu module "user" có và hợp lệ thì không thấy có dấu hiệu gì đáng cho là bị flood cả. Bồ cho biết apache của bồ có giá trị MaxClients, MaxRequestsPerChild, MaxKeepAliveRequestsKeepAliveTimeout là bao nhiêu?]]>
/hvaonline/posts/list/18838.html#112474 /hvaonline/posts/list/18838.html#112474 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112480 /hvaonline/posts/list/18838.html#112480 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112490 /hvaonline/posts/list/18838.html#112490 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112515 /hvaonline/posts/list/18838.html#112515 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112519 /hvaonline/posts/list/18838.html#112519 GMT Re: Flood Apache Webserver.

levinthan wrote:
Vâng . Đúng là em config Apache không đầy đủ thật . Em đã nghiên cứu và config các giá trị MaxClients, MaxRequestsPerChild, MaxKeepAliveRequests và KeepAliveTimeout lại rồi nhưng vẫn bị . Nhưng việc em bị flood thì hoàn toàn là sự thật vì trước giờ không bị gì , gần đây bị ghét nên vậy . Và ban đêm hoặc ngay cả các giờ cao điểm , các giờ mà số lượng người truy cập vào đông cũng không bị tình trạng vậy . Nó xảy ra rất là ngẫu nhiên, vào các thời điểm không cố định , chứ không phải bị theo số người truy cập . Băng thông của em ít thật nhưng với lượng người truy cập chỉ là vài chục thì có đến tình trạng đó không. Em tìm đến HVA nhờ giúp đỡ cũng vì em bế tắc rồi . Anh nói vậy thì em đành chịu . Thôi thì cảm ơn anh đã nhiệt tình giúp đỡ em trong các bài vừa rồi . Chúc anh vui vẻ . 
Đoạn cuối của httpd.conf của bồ có đoạn:
# Server-pool management (MPM specific) #Include conf/extra/httpd-mpm.conf # Multi-language error messages #Include conf/extra/httpd-multilang-errordoc.conf # Fancy directory listings #Include conf/extra/httpd-autoindex.conf # Language settings #Include conf/extra/httpd-languages.conf # User home directories #Include conf/extra/httpd-userdir.conf # Real-time info on requests and configuration #Include conf/extra/httpd-info.conf # Virtual hosts #Include conf/extra/httpd-vhosts.conf # Local access to the Apache HTTP Server Manual #Include conf/extra/httpd-manual.conf # Distributed authoring and versioning (WebDAV) #Include conf/extra/httpd-dav.conf # Various default settings #Include conf/extra/httpd-default.conf 
Bồ nên nghiên cứu config file của các phần màu đỏ mà tôi đã đánh dấu. Hiện nay chúng đều bị "hash out" (vô hiệu hóa). Bạn nên xem chúng và điều chỉnh và sử dụng cho đúng. Hiện tượng này càng ngẫu nhiên càng giải thích tình trạng config của apache không đúng, thiếu sót.]]>
/hvaonline/posts/list/18838.html#112610 /hvaonline/posts/list/18838.html#112610 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112625 /hvaonline/posts/list/18838.html#112625 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112650 /hvaonline/posts/list/18838.html#112650 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112668 /hvaonline/posts/list/18838.html#112668 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112669 /hvaonline/posts/list/18838.html#112669 GMT Re: Flood Apache Webserver.

levinthan wrote:
Cảm ơn bạn đã góp ý . Mình cũng nghe nói là Linux bảo mật tốt hơn nhưng mình không biết dùng Linux và các chương trình của mình dùng để chạy server game không hỗ trợ Linux :(. Các bạn cho mình hỏi . Mình có đọc nhiều tài liệu . Nhưng không hiểu tại sao mình phải config virtual hosts. Mình đâu có nhu cầu dùng nhiều domain , nhiều host đâu. Còn về mpm cho apache . Mình có đọc và hiểu các thông số . Nhưng mình không tìm thấy nơi nào dùng để set cấu hình mpm. Mình thấy " Use "apachectl -l" to find out the active mpm". Nhưng trong bin lại không có apachectl . Mình chưa biết nên nhờ các bạn chỉ giúp . Cảm ơn. 
Trên các phiên bản Apache 2.x hỗ trợ multi-processing module thay vì prefork như Apache 1.x Cách dùng, so sánh nó ra vào xin mời đọc cuốn /book/ trong thư viện HVA Hèm, nên nhớ server của bro đang dùng là server Windows chứ không phải server Linux
C:\> cd \xampp\apache\bin C:\> httpd.exe -l 
Trong đây chứa danh sách các module được cài đặt cho Apache của bro . Nếu muốn cấu hình MPM trên WinNT thì trong http-mpm.conf
# WinNT MPM # ThreadsPerChild: constant number of worker threads in the server process # MaxRequestsPerChild: maximum number of requests a server process serves <IfModule mpm_winnt_module> ThreadsPerChild 250 MaxRequestsPerChild 0 </IfModule> 
Nếu muốn "bật" tập tin http-mpm.conf thì đảm bảo tập tin cấu hình Apache của bro có thêm dòng
# Server-pool management (MPM specific) Include conf/extra/httpd-mpm.conf  
Bỏ dấu # ở đằng trước kế chữ Include , các mục sau cũng làm tương tự .

levinthan wrote:
Timeout 30 KeepAlive On MaxKeepAliveRequests 5 KeepAliveTimeout 15 Hiện tại mình đã config httpd-default như vậy. Load web có hơi lâu thật nhưng cũng đỡ vì bình thường nó flood lên đến ... vài ngàn recvq . nay chỉ vài chục là tự ngắt . 
Bro nên đọc cuốn sách mà tôi giới thiệu ở trên và giải thích từng tham số của các tập tin được lưu trữ trong thư mục conf , extra của Apache . Nhìn đoạn log của bro đưa ra, tôi chỉ nhìn thấy mấy cú GET hợp lệ chứ chẳng thấy "triệu chứng" server của bro bị người ta phá . - Có khả năng server của bro cấu hình kém chẳng hạn dẫn đến tình trạng crash MSSQL . - Băng thông 4M cũng là vấn đề lớn, với đường truyền ở VN hiện nay ví dụ ở nhà cung cấp từ VNPT thiết lập cho bro với gói 4M ở đầu DSLAM tuy nhiên khi lên đến BRAS bị "bóp" một chút thì gói cước của bro sẽ thay đổi rõ rệt, nếu làm server game nhỏ thì theo tôi nên thuê luôn gói cước Megawan có tốc độ upload, download không đổi thì tốt hơn . Trên đây chỉ là ở vấn đề suy đoán, còn nếu muốn kiểm tra nó thì cần có thời gian để điều tra, phân tích, xác minh sự cố thì mới biết được server của bro hiện nay bị lỗi là do đâu.]]>
/hvaonline/posts/list/18838.html#112686 /hvaonline/posts/list/18838.html#112686 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112724 /hvaonline/posts/list/18838.html#112724 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112750 /hvaonline/posts/list/18838.html#112750 GMT Re: Flood Apache Webserver.

levinthan wrote:
Cảm ơn bạn đã chỉ dẫn . Về vấn đề có bị phá hay không thì mình là người hiểu rõ nhất . Mình chạy server này , game này , web này đã 2 năm rồi . Rất ổn định . Chỉ có gần đây mình block mấy cheater . Rồi bắt đầu bị tình trạng này . ISA thỉnh thoảng vẫn báo deny các truy cập , các port ko hợp lệ . Google các port này thì toàn là thông tin về ddos . Đã thế vừa bị được 2 ngày là đã nhận được email " Sao rồi hả bạn , mấy hôm nay thích không ? " Đau đầu là xem log apache , log isa cũng không biết request nào gây như vậy. Chỉ biết là tắt apache sv thì nó ngắt ngay, không làm gì được nữa. Mình biết là flood không nhiều , ít , nhưng những packet đó có tác dụng rất mạnh đến gameserver nên cũng ráng tìm , đọc kĩ các dòng mà vẫn không thấy . Mình nghĩ nếu bị mạnh thì apache service bị stop /restart hay modem tắt luôn ( cái này mình nghe nói ). Mình đang download ebook bạn chỉ . Hi vọng sẽ biết được nhiều điều .Rất cảm ơn! 
Web site của bồ chỉ cần chọn 1 chục URL hoàn toàn hợp lệ (tồn tại và hợp lệ) và vài người thay phiên nhau flood cũng đủ chết. Bởi vì những request này hợp lệ và không bị dồn dập nên không thể nhận diện được từ log. Website nào hiện diện trên mạng và có firewall thì 99.99% sẽ nhận được các thông báo "deny truy cập", "port không hợp lệ".... Đây là chuyện hoàn toàn bình thường. Riêng việc bồ nhận được e-mail khiêu khích thì có vẻ bồ bị "chơi" thật. Khổ một nỗi, trọn bộ các log files bồ cung cấp không có gì chứng tỏ bồ bị flood cả. Bởi thế, không có cách gì giúp bồ khắc phục được. Riêng phần apache thì như tôi đã nói ở trên, Apache của bồ thiếu nhiều thứ quan trọng nên nó hoàn toàn chạy ở chế độ mặc định. Nếu bị flood 1 tí sẽ bị nghẽn ngay. Tôi không đưa ra cấu hình cụ thể cho apache của bồ vì tôi không biết site của bồ ra sao (và đây là trách nhiệm của bồ - người làm chủ website). Theo kinh nghiệm bản thân, tôi cho rằng apache chạy trên Windows chỉ đạt tối đa 1/2 hiệu suất so sánh với apache chạy trên *nix (Linux nói riêng). Apache chạy trên Windows chỉ có thể dùng Prefork MPM mà thôi. Bởi vậy, nên tham khảo sâu khoản này.]]>
/hvaonline/posts/list/18838.html#112768 /hvaonline/posts/list/18838.html#112768 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#112820 /hvaonline/posts/list/18838.html#112820 GMT Re: Flood Apache Webserver.

conmale wrote:
Apache chạy trên Windows chỉ có thể dùng Prefork MPM mà thôi. Bởi vậy, nên tham khảo sâu khoản này. 
Cám ơn anh conmale chỉ rõ điểm sai của em ở chổ này :) ]]>
/hvaonline/posts/list/18838.html#112864 /hvaonline/posts/list/18838.html#112864 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113233 /hvaonline/posts/list/18838.html#113233 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113340 /hvaonline/posts/list/18838.html#113340 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113358 /hvaonline/posts/list/18838.html#113358 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113360 /hvaonline/posts/list/18838.html#113360 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113363 /hvaonline/posts/list/18838.html#113363 GMT Re: Flood Apache Webserver. #Cấu hình cho httpd-mpm.conf (mpm winnt) : <IfModule mpm_winnt_module> ThreadsPerChild 200 MaxRequestsPerChild 0 </IfModule> #Cấu hình cho httpd-default.conf : Timeout 200 KeepAlive On MaxKeepAliveRequests 0 KeepAliveTimeout 15 UseCanonicalName Off AccessFileName .htaccess ServerTokens Prod ServerSignature Off HostnameLookups Off   Đối với httpd-mpm: Đổi: ThreadsPerChild 512 MaxRequestsPerChild 5000 (dùng giá trị này để theo dõi xem còn sự cố hay không, nếu không còn sự cố thì gia tăng nó lên thành 20000, đừng để 0 vì system của bồ có thể có vấn đề với memory). Thêm: ThreadLimit 1024 Đối với httpd-default: Đổi: MaxKeepAliveRequests 512 KeepAliveTimeout 5 Ngoài ra, chưa có dữ liệu sniff được thì cũng chưa có cái gì rõ ràng cả.]]> /hvaonline/posts/list/18838.html#113366 /hvaonline/posts/list/18838.html#113366 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113372 /hvaonline/posts/list/18838.html#113372 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113381 /hvaonline/posts/list/18838.html#113381 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113382 /hvaonline/posts/list/18838.html#113382 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113384 /hvaonline/posts/list/18838.html#113384 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113386 /hvaonline/posts/list/18838.html#113386 GMT Re: Flood Apache Webserver. quá nhiều request / response giữa 2 host này và cũng có quá nhiều malform packets (gói tin không hợp lệ), quá nhiều fragmented packets (gói tin bị chẻ nhỏ ra). Chứng tỏ network connection giữa 2 host này rất kém. Có quá nhiều response packets từ 192.168.1.5 đến các clients (public IP nào đó) ở dạng "reassembled PDU" và đây là nguyên nhân của sự trì trệ. Hầu như các response stream đi từ 192.168.1.5 đến clients (public IP nào đó) đều bị dính khá nhiều "reassembled PDU". Để khắc phục tình trạng này, bồ phải hạ MTU trên ADSL modem bớt (tôi không rõ bồ dùng ADSL modem nào nên không thể nói chi tiết hạ như thế nào) và chỉnh MTU trên Windows server có y hệt MTU trên ADSL modem. Nếu không, tình trạng này tiếp tục xảy ra và nếu kéo dài, tình trạng sẽ càng lúc tệ hại. Xin lưu ý rằng: việc điều chỉnh MTU trên Windows là việc không nên làm bởi vì nó khá nguy nên tôi không khuyến khích làm việc này. Vẫn không có dấu hiệu apache bị flood. Tôi e rằng bồ bị flood ngay ở ADSL modem.]]> /hvaonline/posts/list/18838.html#113387 /hvaonline/posts/list/18838.html#113387 GMT Re: Flood Apache Webserver. 192.168.1.5 là web server và 192.168.1.3 là mssql server?   Vâng . Chính xác.
Cho biết giữa 192.168.1.5 và 192.168.1.3 connect qua cơ chế nào? (ODBC?)  
Không qua ODBC , Qua MSSQL Connect .Vì 2 máy nằm chung network nên chỉ việc connect như thế này .
$muweb['connection'] = 'mssql'; $muweb['localhost'] = '192.168.1.3''; $muweb['dbhost'] = '192.168.1.3'; $muweb['database'] = 'MuOnline'; $muweb['dbuser'] = 'sa'; $muweb['dbpassword'] = 'xxxxxxxx'; $db = &ADONewConnection('mssql'); $connect_mssql = $db->Connect($muweb['dbhost'],$muweb['dbuser'],$muweb['dbpassword'],$muweb['database']);  
Nhưng mình cũng đã có thử dùng ODBC rồi . Vẫn bị.
Chứng tỏ network connection giữa 2 host này rất kém.  
2 máy này nằm trong 1 switch , kết nối rất nhanh :( . Đâu phải remote connection từ xa đâu ạ .Đồng ý là hệ thống của em yếu kém, nhưng em dám chắc là không tự nhiên mà bị thế này . Em chạy đã 2 năm rồi . Không bị gì cả . Chỉ gần đây là bị phá hoại có chủ đích thôi.
Vẫn không có dấu hiệu apache bị flood. Tôi e rằng bồ bị flood ngay ở ADSL modem. 
Mình không dám phản biện lại ý kiến này . Nhưng nếu là flood từ ADSL modem thì tại sao mình stop service ApacheServer là hết bị ngay?
Để khắc phục tình trạng này, bồ phải hạ MTU trên ADSL modem bớt (tôi không rõ bồ dùng ADSL modem nào nên không thể nói chi tiết hạ như thế nào) và chỉnh MTU trên Windows server có y hệt MTU trên ADSL modem. Nếu không, tình trạng này tiếp tục xảy ra và nếu kéo dài, tình trạng sẽ càng lúc tệ hại. Xin lưu ý rằng: việc điều chỉnh MTU trên Windows là việc không nên làm bởi vì nó khá nguy nên tôi không khuyến khích làm việc này.  
Hic . Mình backup dữ liệu hàng ngày . Giờ bị phá hoài ức lắm . Rất tức . Mình không phá hoại , gây hiềm khích gì ai cả . Công sức mình làm 2 năm nay , không bỏ trắng được :( . Nên giờ làm cái gì có thể là mình làm ngay . Mình đang sử dụng ADSL Router DLink-520T . Dùng 2 cái . Mình không hiểu được là tại sao kết nối giữa Web đến MSSQL lại ảnh hưởng đến Joinserver , khiến Joinserver báo lỗi RecvQ như đoạn video mình đã post.
http://stukyo.com/b.swf  
Đau đầu quá . Tối nay mình sẽ thử đưa MSSQL ra chạy riêng 1 máy 192.168.1.4. Web 192.168.1.5 Connect đến đó lấy dữ liệu và GameServer 192.168.1.3 để riêng ra , cũng kết nối đến 192.168.1.4 . Xem xem còn bị ảnh hưởng giữa Web và Game nữa không . Mình đang reply bài ở đây , mà cứ vài giây lại tab qua cửa số remote màn hình xem xem có bị flood hay không . Có là stop service appserv ngay . Cái cảm giác ngồi canh , canh để xem nó phá khi nào mà không làm gì được . Nó .... Nếu bạn có ý kiến hay lời khuyên nào cho mình hiện tại , mình sẽ thử ngay . Cảm ơn comale rất nhiều . Mình biết không phải ai cũng bỏ thời gian của mình ra để giúp đỡ người khác mà không được gì . Nhưng mình rất quý điều đó và rất biết ơn. Chúc bạn được nhiều niềm vui trong cuộc sống. ]]>
/hvaonline/posts/list/18838.html#113390 /hvaonline/posts/list/18838.html#113390 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113408 /hvaonline/posts/list/18838.html#113408 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113413 /hvaonline/posts/list/18838.html#113413 GMT Re: Flood Apache Webserver. bí mật" cả. Vì để giữ "bí mật' tốt nhất một hệ thống, một công nghệ là luôn luôn, liên tục thay đổi, cải tiến, nâng cấp chúng. Về topology giữa modem, switch, webserver và Game server... của bạn, tôi không thấy có gì đặc biệt cần lưu ý. Mặc dù có thể chưa là tối ưu. Nhưng xin bạn cho biết model cụ thể của ADSL modem bạn đang dùng. ADSL modem cũng là một yếu tố không thể bỏ qua vì nó là hàng rào đầu tiên. Trên Apache event log tôi cũng thấy không có dấu hiệu rõ ràng của các cuộc tấn công, dù đó là tấn công Flash DDoS. Tất cà các GET request đều có vẻ hợp lệ và webserver của bạn đã chấp nhận các yêu cầu này một cách "đầy đủ và hoàn hảo". Bạn có đưa ra nôi dung file config. trong Apache. Dù rằng bạn chưa chú ý đến một số chi tiết cần config. kỹ hơn trong nôi dung, nhiều chỗ bạn dùng "default". Nhưng theo tôi có lẽ nôi dung config. bạn đang dủng trong Apache không phải là nguyên nhân chính dẫn đến những trục trặc mà bạn đang mắc. Tôi cũng đã tìm ra tên miền của webserver của bạn và tôi sẽ check kỹ để tìm ra những điểm yếu trên hệ thống, có thể dẫn đến khi hacker tấn công vào đó sẽ làm hệ thống sụp đổ. Khi hệ thống có một điểm yếu thì hacker chỉ cần gửi vài chục request với character đặc biệt đến một nơi nào đó trên hệ thống có thể làm cho hệ thống ngưng hoạt đông, mà có thể một số log nào đó, thí dụ http.log trong Apache không ghi nhận đựoc. Các cuộc tấn công này có "hàm lượng trí tuệ" cao hơn rất nhiều các cuộc tấn công DDos tràn lan như ta đã thấy, kể cả Flash DDoS. Ấy là ví von như vây cho vui. Khi có tìm ra điều gì tôi xin thông báo cho bạn, nhưng không thể báo cho bạn trong thời gian ngắn. Vì mấy hôm nay tôi rất bận. ]]> /hvaonline/posts/list/18838.html#113415 /hvaonline/posts/list/18838.html#113415 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113417 /hvaonline/posts/list/18838.html#113417 GMT Re: Flood Apache Webserver.

levinthan wrote:
Cảm ơn bạn đã quan tâm bài viết của mình . Mình sử dụng modem của Dlink . Đời 520 T . Mình rất đồng ý với ý kiến của PXMMRF đã đưa ra về trường hợp của mình , đặc biệt là đoạn cuối . Mình không biết phải nói sao . Đúng là về phía apache thì rất bình thường. Nhưng khi bị tấn công thì webserver của mình bị sụm lại , không ai vào được , kể cả localhost. Và Authentication Server của game báo có rất nhiều yêu cầu đang đợi xử lý (RecvQ- Receive Queue). Vâng . Thích thì anh ta flood khoảng 5 10 phút , để cho khoảng 50 % số người chơi văng ra còn buồn thì anh ta flood vài tiếng cho đến khi không còn ai online cả ( Nếu mình không stop service Apache ) và khi anh ta ngưng tấn công thì tất cả mọi thứ đều trở lại bình thường. Bình thường thì anh ta tấn công mọi lúc , đôi khi tối thứ 7 , chủ nhật hay ngày lễ thì anh ta tha cho , chắc là đi chơi với người yêu hay nhật nhẹt . Có điều mình đã tìm kiếm rất nhiều mà vẫn không biết khe hở đó bắt nguồn từ đâu mặc dù đã cố gắng dùng source web khác. Và mình cũng đã biết được , người flood server của mình lại lại một thành viên của HVA ONLINE. Trớ trêu. 
Vâng! Mọi vấn đề cơ bản có lẽ đã rõ. Hiện nay, giờ này, bạn đã chuyển trang gameonline "trianglemu.com" hosting tại một webserver của một công ty cho thuê hosting websites, có trụ sở đặt tại Mỹ. Trang gameonline này không còn đặt trong một gameonline server, nằm trong mạng LAN sau một ADSL modem của bạn, có private IP là 192.168.1.x, như bạn đã mô tả trước đây. Việc truy cập đến trang gameonline nay đã cải thiện rất nhiều. Cách giải quyết của bạn như vậy là hợp lý và đúng đắn phải không bạn? Webserver của bạn có tên miền là "ta1.myvnc.com" thì vẫn đặt ở "chỗ cũ". Chỗ cũ là một chỗ trong mạng LAN sau ADSL modem D-Link 250T, webserver đựong nhiên phải có một private IP như bạn đã từng nói. Trang web "ta1.myvnc.com" nay chỉ cho các user truy cập đến một trang duy nhất với một số thông báo cần thiết. Nó không còn hoành tráng như xưa, như là trước đây các user chơi gameonline đã từng nhìn thấy. Tuy vậy bây giờ tôi vẫn còn "nhìn thấy" đựoc những trang "hoành tráng" của website dù đã cho ẩn (hiden). Công nhận những trang đó thiết kế khá đẹp, bố trí hài hòa. Bạn là người có kiến thức khá về nhiều mặt. Tôi "nhìn thấy" được những trang này là vì khi check bảo mật đến website "trianglemu.com' tôi tìm ra được các link bị disclosed (lộ đừong dẫn) và theo đó tôi "mò" vào đựoc những trang đẹp trên webserver "ta1.myvnc.com"(dù rằng việc truy cập đến các URL này rất chậm, rất hay bị "timeout"). Website này cũng còn một số lỗi khác, nhưng lúc này không phải là lúc bàn đến chuyện "lỗi". Những sư việc trục trặc mà bạn đã gặp phải chắc là do các nguyên nhân sau: - Webserver của bạn là một homeserver sử dụng một tên miền năng động (Dynamic domain name): ta1.myvnc.com do công ty kinh doanh dịch vụ tên miền động "no-ip" quản lý www.no-ip.com). Tuy là tên miền của bạn là loại phải mua (không phải là free), nhưng không phải là preminum class. Nếu là tên miền năng động preminum class thì thường chúng phải có dạng khác, thí dụ như px.com hay ta1.com.... Các tên miền Secondary class như ta1.myvnc.com thường hay gặp trục trặc trong quá trình phân giải (resolution), do server phân giải chịu trách nhiệm phân giải quá nhiều tên miền, do công ty không bố trí nhiều DNS server tại các đia điểm khác nhau trên TG để giúp việc phân giải nhanh hơn , hiệu quả hơn...vân vân. Do vậy việc truy cập từ ngoài đến các webserver có tên miền năng động loại này đôi khi trục trặc hay dễ bị overflow khi bị tấn công, dù chỉ tấn công không mạnh. (Xin chú ý là giá một Dynamic domain name loại preminum class cao hơn giá domaine thông thường như .net, .com, .org loại "tĩnh" từ 3 đến 5 lần) - Webserver lại đặt trong một mạng thuê bao do một ISP VIệt nam quản lý và bạn thuê bao với gói dịch vụ trung bình ( không phải là loại cao), trong khi mạng LAN lại đặt cả webserver và gameonline server và giữa chúng có quan hê truyền dữ liệu, thì hiện tựong trục trặc càng dễ xảy ra. Vì vậy bạn đã bố trí lại như hiện nay (webserver thì lắp trong LAN sau modem có các link chỉ đến website gameonline, website gameonline thì hosting trên một webserver mạnh của nước ngoài) là hợp lý. Không có ai ở HVA tấn công bạn đâu. Nếu có chỉ là một cá nhân nào đó, người này không thể đại diện cho HVA, họ làm với tư cách cá nhân. Vì HVA không chủ trương việc này (xem nôi quy HVA). ]]>
/hvaonline/posts/list/18838.html#113435 /hvaonline/posts/list/18838.html#113435 GMT
Re: Flood Apache Webserver.

levinthan wrote:
... Và mình cũng đã biết được , người flood server của mình lại lại một thành viên của HVA ONLINE. Trớ trêu. 
Ặc, vào đây nhờ giúp đỡ đã đời xong kết luận một câu shock quá. #:S#:S#:S ]]>
/hvaonline/posts/list/18838.html#113436 /hvaonline/posts/list/18838.html#113436 GMT
Re: Flood Apache Webserver.

Defender wrote:

levinthan wrote:
... Và mình cũng đã biết được , người flood server của mình lại lại một thành viên của HVA ONLINE. Trớ trêu. 
Ặc, vào đây nhờ giúp đỡ đã đời xong kết luận một câu shock quá. #:S#:S#:S  
Dạ thưa . Đó là sự thật . Người chơi cheat tại game của mình có nick là lychailon . Có chat vài lần thì biết là hắn làm trong 1 tiệm net , hai mươi mấy tuổi , có kiến thức IT , và vài thông tin khác . Google lychailon thì không có nhiều kết quả lắm đâu :( Ổng đây : /hvaonline/posts/preList/10953/69853.html#69853, ]]>
/hvaonline/posts/list/18838.html#113439 /hvaonline/posts/list/18838.html#113439 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113441 /hvaonline/posts/list/18838.html#113441 GMT Re: Flood Apache Webserver.

levinthan wrote:
Dạ thưa . Đó là sự thật . Người chơi cheat tại game của mình có nick là lychailon . Có chat vài lần thì biết là hắn làm trong 1 tiệm net , hai mươi mấy tuổi , có kiến thức IT , và vài thông tin khác . Google lychailon thì không có nhiều kết quả lắm đâu :( Ổng đây : /hvaonline/posts/preList/10953/69853.html#69853,  
Bạn biết đấy, ai cũng có thể reg một cái nick ở HVA cả. Mọi người vào thảo luận giúp đỡ bạn và rồi bạn lại kết bằng một câu như thế. Nên không bạn!?]]>
/hvaonline/posts/list/18838.html#113442 /hvaonline/posts/list/18838.html#113442 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113446 /hvaonline/posts/list/18838.html#113446 GMT Re: Flood Apache Webserver. nên giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa. 2) Trong suốt 2 đoạn sniff ngắn ngủi, có chưa đến 10 IP request đến server của bồ nhưng đã có: - vài chục duplicated ACK đi từ các public IP. Tình trạng này xảy ra do router của bồ trả lời cái gì đó không hợp lệ hoặc packets bị lost khi router của bồ gởi packets đi đến clients. - vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin. - gần một ngàn response packets đi từ 192.168.1.3 đến 192.168.1.5. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên. Nếu website hoạt động bình thường và chỉ có 1 số lượng người nào đó truy cập thì ok. Tuy nhiên, nếu bị flood thì các response packets này sẽ gia tăng theo cấp số và mỗi lần như thế, apache phải tạo connection (socket) đến mssql --> cực kỳ trì trệ. 3) Có dấu hiệu của x-flash. Những dấu hiệu này có biến thái khá mới lạ và chúng chỉ nhằm vào các file có kích thước lớn trên site của bồ. Các files này thường là các flash mà bồ đính trên site của mình. Nếu dùng mod_security, bồ nên cho dòng sau vào httpd.conf: SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400" Ngoài ra, MTU của bồ như thế là ok rồi. Không cần phải chỉnh thấp hơn. Tôi nghĩ rằng nếu bồ chạy apache trên Linux có lẽ bồ sẽ không bị tệ hại như thế. Nếu bồ điều chỉnh lại cơ chế truy vấn đến mssql thì site của bồ sẽ bền hơn. Một lời cuối: bất cứ ai cũng có thể đăng ký nick tại HVA và trở thành member của HVA. Khi họ sinh hoạt trên diễn đàn này, họ cần thực hiện đúng với luật chơi chung của HVA. Tuy nhiên, những gì họ làm bên ngoài diễn đàn HVA, HVA hoàn toàn không chịu trách nhiệm. Bản thân tôi có thể khuyến dụ ai đó là member của HVA ngưng phá phách bồ. Tuy vậy, cá nhân ấy có đồng ý hay không là chuyện ngoài khả năng của tôi. Xin nhớ rằng, HVA không có chủ trương phá hoại. Những gì xảy ra bên ngoài khuôn khổ diễn đàn HVA thì không có gì liên quan đến HVA cả. Thân mến.]]> /hvaonline/posts/list/18838.html#113447 /hvaonline/posts/list/18838.html#113447 GMT Re: Flood Apache Webserver.

levinthan wrote:
Bác PXMMRF phân tích cực kì chính xác . Hiện bác khó vào được trang http://ta1.myvnc.com vì mình liên tục bị flood , và hay tắt service nên bác bị timeout. Còn cái NO-IP . Cái này chỉ là DNS thôi . Khi đã qua nó rồi thì nó kết nối đến IP thật . Rất nhanh. Còn như ý của bác nói thì , hịc . Hồi trước em làm 1 line , người chơi đông gấp 2 lần giờ còn không vấn đề gì . Giờ còn có 1/2 players , mà 2 line , mà vẫn bị sập . Web ta1.myvnc.com public lên trianglemu.com nên ổng biết , ổng xem mà flood nên không ổn định . Đây là link web phụ đây : http://taw.myvnc.com/wb . Bác xem xem sao . ( mà giờ ổng đang đọc cũng ko biết chừng ) Đây cũng là Webserver appserv đặt trong LAN nhưng có default gateway khác với game. Không dám public cái link đó lên trianglemu.com luôn. Chỉ có vài chục người gamer quen biết . Họ vào địa chỉ đó chẳng bị gì cả.Em có 2 line ADSL , đã thử dùng 1 line chạy riêng cho Webserver , 1 line chạy riêng cho Game, nhưng khi line Web bị flood , vẫn ảnh hưởng đến Game vì web có kết nối MSSQL đến game trong mạng lan. Em tính đưa cái web lên host của servage cho nó host . chạy mssql connect tới mssql server của em . mà nó ko support MSSQL connect , chỉ có MYSQL thôi . So banana <= câu này lychailon nói trong vài trang web mà ổng học tiếng Anh. 
"Nó" nói "So banana" là ý nó nói hệ thống của bạn là "như củ chuối" phải không? Hì hì. Bạn nói lại với nó là "Cười người hôm trước, hôm sau người cười", là "Câu sao không lo cái tiệm net của cậu đi, cứ đi phá người khác"; "Cạnh tranh là phải nâng cao chất lượng phục vụ, chất lượng trang web, chứ đâu đi làm chuyện tầm bậy, hạ đẳng như vậy"; "Có giỏi thì thử tấn công vào HVA webserver xem sao?"...vân vân. Theo tôi bạn cứ duy trì như sắp xếp hiện nay của bạn. Nếu cần thì sử dụng MySQL của Webserver của công ty hosting. Tạm bố trí "trianglemu.com" có thể hoạt động một cách độc lập. Website-webserver ta1.myvnc.com chỉ làm nhiệm vụ giới thiệu, quảng cáo, tổng kết... gì đó. Trên đó có những link, chỉ khi click vào thì mới dẫn trình duyệt của user đi đến trang "trianglemu.com". Không nên tạo một mối liên hệ "phụ thuộc" dưới hình thức truyền dẫn dữ liệu giữa trianglemu.com và ta1.myvnc.com. Bạn chú ý là khi một user truy cập đến một website, thí dụ ta1.myvnc.com thì trình duyệt phải hoàn tất hai giai đoạn: phân giải tên miền thành đia chỉ IP với 4 "octets" và truy cập đến webserver có IP trên. Chỉ một giai đoạn bị châm hay trục trặc là quá trình truy cập đến website bị thất bại. Khi một hacker khởi sự tấn công vào website thì hai giai đoạn nói trên cũng phải lần lượt hoàn tất. Nếu hệ thống DNS bị sụp đổ hay bị chậm khi phân giải các gói tin tấn công thì đưong nhiên việc truy cập đến website từ các user khác sẽ không được hay bị chậm lại. Nếu bạn đã có hai nguồn ADSL thuê bao thì tốt nhất là bạn nên mua một Advanced security router và nối cả hai nguồn ADSL này vào router. Router sẽ cân bằng tải giữa hai nguồn ADSL, cũng như một cái sẽ đứng ra đảm nhân hoàn toàn việc nhận truyền các traffic, khi cái kia bị đứt mach. Trên router này có một firewall khá mạnh và có các cơ cấu quét virus online (quét virus ngay trên các nguồn dữ liệu vào ra), cơ cấu IDS, IPS.... Firewall tích hợp trên Advanced security router này có một cơ chế phòng, chống, hay hạn chế DoS. Cơ chế này mới xem qua thấy nó kỳ cục, buồn cười. Nhưng nghĩ kỹ lại và qua thực tế dùng thì thấy quả là quá thông minh, hình như không thể thông minh hơn, trên hiện trạng thiết bị tầm cỡ ấy. Tôi không kinh doanh net gì cả, chỉ ngâm cứu mạng và bảo mật chơi thôi, mà còn mua được một Advanced security router đấy. (giá cũng không có gì là cao, nếu biết chọn loại phù hợp mà mua) Sau "chạy rà kỹ" router này bạn có thể lắp webserver như ta1.myvnc.com. Lúc đó có lẽ bạn không còn sợ các DoS thông thường như vừa qua. Chắc chỉ các DDoS quá mạnh thì còn có thể có những trục trặc tạm thời nào đó. Vì DDoS rất mạnh thì những hệ thống hiện đại, tầm cỡ trên TG còn phải chịu thua cơ mà. Sau khi đã "rà trơn" hệ thống với router mới, có kinh nghiệm, thì bạn có thể lắp một game server sau router, cùng với webserver, tất nhiên phải port forwarding cho game server một cổng khác trên ADSL modem. ]]>
/hvaonline/posts/list/18838.html#113453 /hvaonline/posts/list/18838.html#113453 GMT
Re: Flood Apache Webserver.

conmale wrote:
Phân tích lại 2 đoạn sniff của bồ, tôi thấy vài chi tiết quan trọng sau: ............................ - vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin. ....................................... - gần một ngàn response packets đi từ 192.168.1.3 đến 192.168.1.5. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên. Nếu website hoạt động bình thường và chỉ có 1 số lượng người nào đó truy cập thì ok. Tuy nhiên, nếu bị flood thì các response packets này sẽ gia tăng theo cấp số và mỗi lần như thế, apache phải tạo connection (socket) đến mssql --> cực kỳ trì trệ. Thân mến. 
Hì hì. Anh conmale đã phân tích kỹ thêm khi decode các gói tin sniff. Rất tiếc, tôi không thể download các file sniff này. Hinh như nó đã bị delete rồi? Ngoài ra, khi check website "trianglemu.com" tôi thấy hiện tượng có khá nhiều "Script Error". Đó là hiện tựong có nhiều "incorrect request" (những truy vấn sai sót) từ nguồn gửi (ở đây chính là webserver ta1.myvnc.com hay cũng có thể từ users nếu như lúc trước đây-lúc có sự số và bạn sniff các gói tin- bạn cho phép user có thể truy cập trực tiếp vào website " trianglemu.com"), từ đó gây ra các lỗi (Script error) trên website "trianglemu.com". Như vậy nhận xét trên đây của anh conmale trên đây là hoàn toàn chính xác]]>
/hvaonline/posts/list/18838.html#113457 /hvaonline/posts/list/18838.html#113457 GMT
Re: Flood Apache Webserver. Bồ bị Syn Flood từ các IP ở VN, chủ yếu là từ Vietel network. Nếu bồ dùng firewall, nên giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa.  Cực kì chính xác . Mình đã nắm được vài cái IP . Cứ hễ mở service là IP đó nhảy vào ào ào . Toàn là 123.xx... 125.xx... Hiện tại cái ISA thấy nó ... ấy ấy quá . Mấy cái rule nó tạo thì OK . Chống được khá nhiều thứ ngoài luồng. Nhưng cũng phải tạo vài cái rule nhỏ để nó không chận với vài phần mềm của client nữa. Chức năng Limit Flood Configuration gì đó , mình thử config tới lui nhưng vẫn không chận được. Giờ máy Webserver có COMODO FIREWALL. Mình sẽ nghiên cứu và tìm thêm firewall khác hữu hiệu hơn. Chỉ cần có đầu mới
giới hạn số lượng SYN được phép trong 1 giây là 2 hoặc 3 là tối đa. 
là rất vui . là có hi vọng tiếp rồi :D
- vài trăm malform packets từ 192.168.1.3 đến 192.168.1.5. Đây là tình trạng rất tệ bởi vì nếu 2 servers trong cùng 1 LAN, dùng chung 1 switch mà bị tình trạng này thì network card của một trong hai server này có vấn đề hoặc cable có vấn đề hoặc switch có vấn đề. Không thể gọi là bình thường được. Đây là dấu hiệu của sự trì trệ trong quá trình chuyển gởi thông tin.  
Cái này , ngày mai mình sẽ thay cái switch , toàn bộ dây và các card mạng lại .
. Đây là cái yếu của việc không dùng database connection pool mà dùng direct query như trên. 
Mình không biết về database connection pool , cảm ơn bạn đã chỉ , tí nữa sẽ nghiên cứu nó là gì.
SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400"  
Mình vừa thêm vào , hi vọng nó có hiệu quả.
"Nó" nói "So banana" là ý nó nói hệ thống của bạn là "như củ chuối" phải không? Hì hì. Bạn nói lại với nó là "Cười người hôm trước, hôm sau người cười", là "Câu sao không lo cái tiệm net của cậu đi, cứ đi phá người khác"; "Cạnh tranh là phải nâng cao chất lượng phục vụ, chất lượng trang web, chứ đâu đi làm chuyện tầm bậy, hạ đẳng như vậy"; "Có giỏi thì thử tấn công vào HVA webserver xem sao?"...vân vân.  
Hic. gần 2 tháng trước .Lúc đầu ổng bảo là game của em có lỗi , ổng bảo ổng sẽ chỉ ra lỗi với điều kiện gì đó , đại loại như là để im account của đó của ổng , cho ổng items trong game dù các gamers khác trong game rất bất bình vì tự nhiên có 1 superman trên trời rơi xuống . Thế là em nghiên cứu và sửa được lỗi , block acc của ổng , dù không cần ổng chỉ như thế nào nữa. Thế là ổng quay qua bảo em làm thế là quá tay , rồi chửi em , rồi bảo em .. " lo mà canh chừng hacker". Thế là từ sáng hôm sau cho đến nay , ngày nào cũng bị flood.
Theo tôi bạn cứ duy trì như sắp xếp hiện nay của bạn. Nếu cần thì sử dụng MySQL của Webserver của công ty hosting. Tạm bố trí "trianglemu.com" có thể hoạt động một cách độc lập. Website-webserver ta1.myvnc.com chỉ làm nhiệm vụ giới thiệu, quảng cáo, tổng kết... gì đó. Trên đó có những link, chỉ khi click vào thì mới dẫn trình duyệt của user đi đến trang "trianglemu.com". Không nên tạo một mối liên hệ "phụ thuộc" dưới hình thức truyền dẫn dữ liệu giữa trianglemu.com và ta1.myvnc.com.  
Hic . Hình như bạn hiểu nhầm . Cái trianglemu.com nó chẳng có gì cả , chỉ là vài cái trang index quảng cáo , dẫn đến website chính mà mình host . Mình mua host ,domain trianglemu.com của servage.net để có 1 cái domain cố định , upload cái CLIENT cho gamer download về , và 1 cái forum cho gamer tiện trao đổi . Chứ nó không hỗ trợ MSSQL , không thể đưa cái web chính lên đó được . mà cái web này rất quan trọng . Người mới vào chơi phải vào đó để tao tài khoản , và rất nhiều vấn đề khác nữa , không thể thiếu được.
Nếu hệ thống DNS bị sụp đổ hay bị chậm khi phân giải các gói tin tấn công thì đưong nhiên việc truy cập đến website từ các user khác sẽ không được hay bị chậm lại.  
Cái này đúng quan trọng thật nhưng hiện nay , chỉ cần webserver không làm ảnh hưởng đến gameserver thì em mừng lắm rồi. Mục đích ổng flood là cho người chơi không vào được game , khiến em phải tắt web , mà game mà không có web thì 1 thời gian sớm cũng sẽ die . Người chơi mới không có vì không tạo được tài khoản , người chơi cũ thì cũng ra đi luôn vì ... so banana , muonline mà không có web :(.
Advanced security router 
Mình vừa nghiên cứu cái này vào trưa nay , cũng tính thử nhưng sợ kinh nghiệm không có , không biết tổ chức cho tốt nữa. Cho mình hỏi ké thì bạn thấy hiệu nào , loại nào thì có giá bình dân mà chất lượng ok , có thể sử dụng tốt cho mô hình mạng của mình hiện nay không , vì google thì thấy có quá nhiều loại , các cửa hàng của VN thì 100% là tụi nó cũng chẳng biết cái nào ngon , à không , phải là cái nào cũng ngon mới đúng . Cái này thật sự không biết thật . Nếu bạn biết thì chỉ giúp nhé . Chứ mình nhìn vào đây thì hoa cả mắt http://www.tic.vn/vi/thongtinbaogiachitiet.asp?idbaogia=91 Rất cảm ơn hai bạn đã nhiệt tình giúp đỡ mình . Tối nay sẽ lại thức sáng đêm để nghiên cứu tiếp . Gần 2 tháng nay , ngày nào cũng ngủ có 3 4 tiếng :(]]>
/hvaonline/posts/list/18838.html#113469 /hvaonline/posts/list/18838.html#113469 GMT
Re: Flood Apache Webserver. Code:
* Open php.ini
* Find safe_mode = off and change it to safe_mode = on
* Do same thing with safe_mode_gid = off
* Restart appserv
Cũng đã thử , hi vọng có kết quả .]]>
/hvaonline/posts/list/18838.html#113470 /hvaonline/posts/list/18838.html#113470 GMT
Re: Flood Apache Webserver.

levinthan wrote:
Hic . Hình như bạn hiểu nhầm . Cái trianglemu.com nó chẳng có gì cả , chỉ là vài cái trang index quảng cáo , dẫn đến website chính mà mình host . Mình mua host ,domain trianglemu.com của servage.net để có 1 cái domain cố định , upload cái CLIENT cho gamer download về , và 1 cái forum cho gamer tiện trao đổi . Chứ nó không hỗ trợ MSSQL , không thể đưa cái web chính lên đó được . mà cái web này rất quan trọng . Người mới vào chơi phải vào đó để tao tài khoản , và rất nhiều vấn đề khác nữa , không thể thiếu được.  
Ờ, cái webserver đang hosting trianglemu.com chạy trên nền linux, cài Apache 1.3.x, PHP 5.2.3, nhưng nó chỉ mở cổng 80 TCP và không hề cài MySQL. Tuy nhiên servage.net có một Datacenter khổng lồ, có tới 1000 MySQL. Vì các server của nó đều chạy trên nền Linux nên nó không hỗ trợ Ms SQL, như SQL 2000 hay 2005 chẳng hạn. Sao bạn không chuyển sang dùng MySQL, để website trianglemu.com có thể chạy độc lập, có đủ tính năng cần thiết mong muốn, như tôi đề nghị?. (Hay bạn chưa quen Linux lắm). Cũng như sao bạn không tìm một công ty web hosting khác có các webserver chạy trên nền Windows và có hỗ trợ Ms SQL để hosting trianglemu.com? Những thứ trong http://www.tic.vn/vi/thongtinbaogiachitiet.asp?idbaogia=91 đa phần là của Cisco, nên giá rất mắc. Vả lại cũng không có cái nào phù hợp với yêu cầu của bạn. Có dịp tôi sẽ cho bạn xem cái tôi đang dùng, khá rẽ. Chỉ bằng giá một Desktop loại tốt thôi. Còn nếu dùng cái xịn nhất thì cũng chỉ trên dưới 15 triệu đồng thôi. À quên, trong hệ thống của bạn nếu hardware (như NIC, switch...) hư hỏng, trục trặc, thì thường chỉ gây ra hiện tượng gián đoạn việc truyền các gói tin thôi, ít khi có hiện tượng gây ra, tạo ra các gói tin hay request malformatted. Theo tôi nên xem kỹ các service và việc config. hệ thống, cũng như ảnh hưởng của việc hacker tấn công vào hệ thống. ]]>
/hvaonline/posts/list/18838.html#113476 /hvaonline/posts/list/18838.html#113476 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113479 /hvaonline/posts/list/18838.html#113479 GMT Re: Flood Apache Webserver. À quên, trong hệ thống của bạn nếu hardware (như NIC, switch...) hư hỏng, trục trặc, thì thường chỉ gây ra hiện tượng gián đoạn việc truyền các gói tin thôi, ít khi có hiện tượng gây ra, tạo ra các gói tin hay request malformatted. Theo tôi nên xem kỹ các service và việc config. hệ thống, cũng như ảnh hưởng của việc hacker tấn công vào hệ thống.   Vâng . Mình sẽ xem xét kĩ lại xem sao . Cảm ơn bạn đã nhắc nhở. Có đọc một số bài về iptables hay quá , mà chỉ triển khai được trên LINUX :(]]> /hvaonline/posts/list/18838.html#113480 /hvaonline/posts/list/18838.html#113480 GMT Re: Flood Apache Webserver. http://stukyo.com/access.rar Dường như hắn ta đang SCAN gì đó . Đoạn đầu của error.log, thấy có rất nhiều request đến stageb.swf . Còn có cả đống request gì [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\\ HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../winnt35/system32/cmd.exe HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../winnt351/system32/cmd.exe HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../..%c0%af../wint/system32/cmd.exe HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd.exe HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd.exe?/c+dir HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd1.exe HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../cmd1.exe?/c+dir HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../sensepost.exe HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../..%c0%af../sensepost.exe?/c+dir HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%9c..%c1%9c../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 to file [Mon Feb 04 00:19:30 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%c1%af..%c1%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file [Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] File does not exist: C:/xampp/htdocs/..\xd0\xaf [Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] File does not exist: C:/xampp/htdocs/..\xd1\x9c [Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%e0%80%af..%e0%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file [Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%f0%80%80%af..%f0%80%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file [Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%f8%80%80%80%af..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file [Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] (22)Invalid argument: Cannot map GET /..%fc%80%80%80%80%af..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.0 to file [Mon Feb 04 00:19:31 2008] [error] [client 117.6.127.180] Invalid URI in request GET /..\\%e0\\%80\\%af../..\\%e0\\%80\\%af../..\\%e0\\%80\\%af../winnt/system32/cmd.exe\\?/c\\+dir+c: HTTP/1.0 Hiện tại , em đang giới hạn maxthreads lại 100 . Nên log báo hết threads , có nên mở tiếp không các bác ? Kinh quá . Xem hộ em với.]]> /hvaonline/posts/list/18838.html#113489 /hvaonline/posts/list/18838.html#113489 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113493 /hvaonline/posts/list/18838.html#113493 GMT Re: Flood Apache Webserver. [Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_log [Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_script [Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_shm [Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/_vti_txt [Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/a [Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/abc [Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/about [Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/acart [Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/acceso [Mon Feb 04 01:09:11 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/access [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/access-log [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/access.log [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/accesslog [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/accesswatch [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/acciones [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/account [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/accounting [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/accounts [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/achievo [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/active [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/activex [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/ad [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/address [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/adm [Mon Feb 04 01:09:12 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admentor [Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admin [Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admin.html [Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/administration [Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/administrator [Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/admins [Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/adminuser [Mon Feb 04 01:09:13 2008] [error] [client 117.6.127.180] client denied by server configuration: C:/xampp/htdocs/ads 
[Mon Feb 04 01:11:49 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../../winnt/repair/sam._ HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../../winnt/win.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../autoexec.bat HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../boot.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../config.sys HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/hosts HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/passwd HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../../etc/shadow HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../autoexec.bat HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../boot.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../conf/Eserv.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../etc/passwd HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../scandisk.log HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/repair/sam HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/repair/sam._ HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../../winnt/win.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../boot.ini HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../config.sys HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../etc/passwd HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../hosts HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../passwd HTTP/1.0 [Mon Feb 04 01:11:50 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../shadow HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../template/shared/indexTemplate.xml HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/repair/sam._ HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/user.dat HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows/win.ini HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../windows\\win.ini HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../../winnt/win.ini HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../..\\ HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../boot.ini HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../config/html/cnf_gi.htm HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../examples//WEB-INF/../../../../../ HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../scandisk.log HTTP/1.0 [Mon Feb 04 01:11:51 2008] [error] [client 117.6.127.180] Invalid URI in request GET /../ssd.ini HTTP/1.0 
]]>
/hvaonline/posts/list/18838.html#113495 /hvaonline/posts/list/18838.html#113495 GMT
Re: Flood Apache Webserver. http://trianglemu.com/diendan )
The following message was sent to you via the Diễn Đàn TriAngle MU Contact Us form by 1.<ptxscan-demo@MTAuMC4wLjQ.com> Referring Page: http://www.trianglemu.com/PTtpnvsrbybm.htm IP Address: 116.118.40.235 User Name: Khách User ID: 0  
Google thông tin về ptxscan thì toàn là ba cái ngôn ngữ gì đâu ko :( Trên host trianglemu.com không có file này PTtpnvsrbybm.htm.Hiện mình đã bắt verify image khi send feedback cho vbb forum . Hi vọng ko bị về forum nữa . Còn apache thì sao nhỉ :(]]>
/hvaonline/posts/list/18838.html#113497 /hvaonline/posts/list/18838.html#113497 GMT
Re: Flood Apache Webserver. thí dụ xem log trên máy của mình sau khi tự mình tấn công DoS đủ loai vào chính máy mình để kiểm tra bảo mật và khả năng chịu đựng của hệ thống) sẽ không thể nói, rất khó nói là máy bạn đã bị tấn công, hay ít nhất là bị tấn công qua cổng 80. Ngoài ra thì những cái gì có chữ PX thì chắc là của lão PX chứ còn gì nữa? Thôi rỡn chút cho vui. Đó là vì tôi đã check khá kỹ hệ thống của bạn, cả ta1.myvnc.com và trianglemu.com, chủ yếu để tìm ra những vulnerability liên quan đến khả năng hệ thống dễ bị overflow hay bị ngưng trệ khi bị một hacker tấn công DoS vào hệ thống, thông qua cổng 80 hay bất cứ cổng nào đang mở trên hệ thống. Tôi không dùng Proxy khi check bảo mật, tôi thuê bao dịch vụ ADSL của Viettel và VDC, 2 nguồn. Hiện nay tôi chưa tìm ra được một vulnerability như vậy, nên tôi đã, đang nghiêng về khả năng là những trục trặc vừa qua trên hệ thống chủ yếu là từ nguyên nhân: sự hạn chế của tên miền năng động loại secondary class, hạn chế từ nhà cung cấp dịch vụ Dynamic DNS, từ ISP, mạng của VN...và cả việc incorrect config. (cấu hình chưa đúng ) hệ thống. Tôi không tin là một hacker đã gây cho bạn những trục trặc như vậy. Nếu có một hacker tấn công vào bạn, nó chỉ "góp phần" nhỏ làm hệ thống trục trặc mà thôi. Còn những lỗi khác sau này có dịp rảnh rang tôi sẽ nói cho bạn. Cũng như tôi sẽ nói rõ về Advanced security router, cho bạn xem tận mắt nó đang hoạt động và bạn sẽ thấy có thích nó hay không? Đầu tư một số tiền vào đó mà sau này bạn không thích, thì lại oán là lão PX xui dại. Note:À quên, đã thông báo là sẽ check rồi, mà có lúc bạn lại block IP lại thì hỏng to. Lần sau tôi "thay"WAN IP đấy. Hề hề. Chỉ rỡn cho vui thôi. ]]> /hvaonline/posts/list/18838.html#113499 /hvaonline/posts/list/18838.html#113499 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113501 /hvaonline/posts/list/18838.html#113501 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113505 /hvaonline/posts/list/18838.html#113505 GMT Re: Flood Apache Webserver.

levinthan wrote:
Hic. Vẫn đang bị flood :( 
Hello levinthan, Tôi cũng là người theo dõi khá sát tình trạng của bạn trong mấy ngày gần đây. Rất tiếc, các pcap files đã được xoá (theo khuyến cáo của anh conmale) nên tôi cũng ko thể biết chính xác những gì đã được gửi tới web server của bạn. Theo phỏng đoán của tôi, bên cạnh việc hiệu chỉnh apache theo sự trợ giúp của anh conmale, có lẽ bạn cần hiệu chỉnh thêm một chút các tham số liên quan tới phần TCP/IP của Windows mà Web server đang chạy trên nó, từ đó hi vọng giảm thiểu tình trạng SYN flood(!). Bạn có thể sử dụng công cụ http://www.sniff-em.com/hardenit.shtml. Lưu ý: do hệ thống hiện tại của bạn đang bị tấn công, nên tốt nhất bạn lựa chọn các giá trị tùy chọn thắt chặt nhất, sau đó nới lỏng dần từng tham số rồi xem phản ứng của hệ thống ra sao khi sử dụng công cụ trên. Ngoài ra, theo gợi ý của bác PXMMRF, nếu có thể bạn cũng nên cân nhắc khả năng tăng cường phần hardware cho hệ thống. Nếu bạn đã có 2 ADSL lines, bạn có thể tham khảo sản phẩm Draytek Security Router hỗ trợ out-bound load balancing trên 2 WAN interfaces. Chi phí cho Router này cũng tầm trên dưới 10 tr VNĐ. Hi vọng chút góp ý phần nào giúp được bạn vượt qua được đợt khó khăn này. Thân mến.]]>
/hvaonline/posts/list/18838.html#113511 /hvaonline/posts/list/18838.html#113511 GMT
Re: Flood Apache Webserver.

levinthan wrote:
Hic. Vẫn đang bị flood :(  
cười cái nào B-) ]]>
/hvaonline/posts/list/18838.html#113512 /hvaonline/posts/list/18838.html#113512 GMT
Re: Flood Apache Webserver. Open your registry and find the key below. Create a new DWORD value called "SynAttackProtect" and set it to either 0, 1 or 2 based on the table below. This value causes Transmission Control Protocol (TCP) to adjust retransmission of SYN-ACKS. When you configure this value, the connection responses time out more quickly in the event of a SYN attack (a type of denial of service attack). * 0 (default) - typical protection against SYN attacks * 1 - better protection against SYN attacks that uses the advanced values below. * 2 (recommended) - best protection against SYN attacks. This value adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress. Optional Advanced Values For extra control you can create these additional DWORD values in the same key for each of the items below. They are not required for SynAttackProtect to be effective. * TcpMaxHalfOpen - default value is "100" * TcpMaxHalfOpenRetried - default value is "80" * TcpMaxPortsExhausted - default value is "5" * TcpMaxConnectResponseRetransmissions - default value is "3"   Mình đã up lại đoạn sniff trong quá trình bình thường và bị flood , bạn nào rảnh có thể xem giúp mình nhé http://stukyo.com/flood.rar Mình sẽ tham khảo một số router xem sao . Có lẽ giá cao thật nhưng nếu nó lọc được 1 ít flood thì cũng cam . http://www.draytek.com.vn/category.aspx?cat=2 Ở đây có vài cái router support load balancing . Nhưng quan trọng nhất là về mặt security , cái nào cũng là " best security , anti ddos, flood " . cái dlink 520t của mình cũng quảng cáo như vậy :( Hiện mình đang ngắm 2 cái là Vigor2910 Dual WAN Security Router ( 170+ $ ) và Vigor2950 Dual WAN Security Router (460+ $). Không biết cái nào phù hợp hơn nhỉ .
Chào bạn, theo những gì bạn đã nói thì mình có 1 ý thủ công Bạn nói khi tắt Apache thì games chạy bình thường, mình nghĩ vậy là nó không dos trực tiếp vào servergame.  
Chính xác là flood vào webserver qua port 80 , mình đã thử change port , thậm chí change port của apache qua port khác , isa listen port 80 rồi chuyển qua đúng port cho apache mà vẫn không si nhê. Vì cái web của mình chẳng có gì . 90% là kết nối , lưu , xuất dữ liệu từ mssql . news cung lấy từ mssql ra , chỉ còn 2 chức năng must have là reg account , change password , user control thôi . bỏ mấy cái tính năng này ra , không kết nối đến mssql nữa thì ... là web trắng rồi :D Cảm ơn các bạn đã giúp đỡ. Sự thật là không vui nổi . Trước giờ thảnh thơii lắm . Có nhiều thời gian , còn giờ cứ phải ngồi trên máy suốt luôn , ngày ngày đêm đêm mà canh stop service apache khi bị flood , tìm cách khắc phục . ]]>
/hvaonline/posts/list/18838.html#113520 /hvaonline/posts/list/18838.html#113520 GMT
Re: Flood Apache Webserver. Web + MS sql <--------------> servergame 2) Web <--------> MS sql <-----> servergame 3) Web <--------------> MS sql + servergame (Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau) Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo. :D ]]> /hvaonline/posts/list/18838.html#113522 /hvaonline/posts/list/18838.html#113522 GMT Re: Flood Apache Webserver.

seraphpl wrote:
Bạn dùng 2 line riêng, 1 cho web, 1 cho server (servergame) Ms sql bạn để trên máy web hay máy server? Web liên hệ với server qua trao đổi dữ liệu với sql Không biết bạn thiết kế theo mô hình nào 1) Web + MS sql <--------------> servergame 2) Web <--------> MS sql <-----> servergame 3) Web <--------------> MS sql + servergame (Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau) Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo. :D  
Nó đấy , là nó đấy , vấn đề mà mình đau đầu , không hiểu nổi . Cả 3 phương án trên mình đều đã thử hết . Và cả 3 phương án đều bị flood tè le . Biết là bị tấn công . Biết là bị tấn công từ web . Mà không biết là how'd they do that :(]]>
/hvaonline/posts/list/18838.html#113523 /hvaonline/posts/list/18838.html#113523 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113533 /hvaonline/posts/list/18838.html#113533 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113534 /hvaonline/posts/list/18838.html#113534 GMT Re: Flood Apache Webserver.

vivashadow wrote:
Bổ sung: (kô sửa bài trên dc) 4. Tạo một db user khác để dùng cho web php, và thắt chặt quyền và balance cho nó, phần nào sẽ đỡ cho user dành cho game server 
Wao . Ý kiến này hay quá . Quả là chưa thử , chưa nghĩ tới . Cảm ơn bạn nhiều]]>
/hvaonline/posts/list/18838.html#113536 /hvaonline/posts/list/18838.html#113536 GMT
Re: Flood Apache Webserver.

levinthan wrote:
Hi . Lại có người giúp nữa rồi. Vui quá . Mình đã giới hạn các thông số của apache server ( timeout , MaxKeepAliveRequests , keelalivetimeout ,ThreadsPerChild ,MaxRequestsPerChild, ThreadLimit ) nhưng vẫn không khắc phục được. Mình có đọc một số bài viết giới hạn lại TCP/IP trong windows bằng cách chỉnh sửa registry . Để mình thử cái đó xem sao .Có phải cái này không nhỉ
Open your registry and find the key below. Create a new DWORD value called "SynAttackProtect" and set it to either 0, 1 or 2 based on the table below. This value causes Transmission Control Protocol (TCP) to adjust retransmission of SYN-ACKS. When you configure this value, the connection responses time out more quickly in the event of a SYN attack (a type of denial of service attack). * 0 (default) - typical protection against SYN attacks * 1 - better protection against SYN attacks that uses the advanced values below. * 2 (recommended) - best protection against SYN attacks. This value adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress. Optional Advanced Values For extra control you can create these additional DWORD values in the same key for each of the items below. They are not required for SynAttackProtect to be effective. * TcpMaxHalfOpen - default value is "100" * TcpMaxHalfOpenRetried - default value is "80" * TcpMaxPortsExhausted - default value is "5" * TcpMaxConnectResponseRetransmissions - default value is "3"  
Mình đã up lại đoạn sniff trong quá trình bình thường và bị flood , bạn nào rảnh có thể xem giúp mình nhé http://stukyo.com/flood.rar ...  
Thông tin về bài viết đó chưa đủ. Tôi đã để link của công cụ mà tôi giới thiệu cho bạn trong chữ "này" rồi mà. Cụ thể là ở đây: http://www.sniff-em.com/hardenit.shtml. Bạn tải về và thắt chặt thêm cho phần TCP/IP trên Web server của mình.
... Bạn có thể sử dụng công cụ này. Lưu ý: do hệ thống hiện tại của bạn đang bị tấn công, nên tốt nhất bạn lựa chọn các giá trị tùy chọn thắt chặt nhất, sau đó nới lỏng dần từng tham số rồi xem phản ứng của hệ thống ra sao khi sử dụng công cụ trên.  
Mình sẽ tham khảo một số router xem sao . Có lẽ giá cao thật nhưng nếu nó lọc được 1 ít flood thì cũng cam . http://www.draytek.com.vn/category.aspx?cat=2 Ở đây có vài cái router support load balancing . Nhưng quan trọng nhất là về mặt security , cái nào cũng là " best security , anti ddos, flood " . cái dlink 520t của mình cũng quảng cáo như vậy :( Hiện mình đang ngắm 2 cái là Vigor2910 Dual WAN Security Router ( 170+ $ ) và Vigor2950 Dual WAN Security Router (460+ $). Không biết cái nào phù hợp hơn nhỉ . ...  
Bạn nên tự cân nhắc xem thiết bị nào phù hợp với túi tiền và nhu cầu của mình. Tớ sẽ ngâm cứu đoạn sniff mà bạn cung cấp xem có manh mối gì không. Hi vọng có thể giúp được bạn điều gì đó.]]>
/hvaonline/posts/list/18838.html#113540 /hvaonline/posts/list/18838.html#113540 GMT
Re: Flood Apache Webserver. Thông tin về bài viết đó chưa đủ. Tôi đã để link của công cụ mà tôi giới thiệu cho bạn trong chữ "này" rồi mà. Cụ thể là ở đây: http://www.sniff-em.com/hardenit.shtml. Bạn tải về và thắt chặt thêm cho phần TCP/IP trên Web server của mình.   Xin lỗi , mình đọc không kĩ nên tưởng đó là phần mềm sniff.
Tạo một db user khác để dùng cho web php, và thắt chặt quyền và balance cho nó, phần nào sẽ đỡ cho user dành cho game server  
Cách này đã thất bại luôn rồi. HIc.
Tớ sẽ ngâm cứu đoạn sniff mà bạn cung cấp xem có manh mối gì không. Hi vọng có thể giúp được bạn điều gì đó. 
Cảm ơn bạn rất nhiều. Đã thiết lập Harden-It rồi . Sáng mai mình sẽ có kết quả :D]]>
/hvaonline/posts/list/18838.html#113554 /hvaonline/posts/list/18838.html#113554 GMT
Re: Flood Apache Webserver.

seraphpl wrote:
Bạn dùng 2 line riêng, 1 cho web, 1 cho server (servergame) Ms sql bạn để trên máy web hay máy server? Web liên hệ với server qua trao đổi dữ liệu với sql Không biết bạn thiết kế theo mô hình nào 1) Web + MS sql <--------------> servergame 2) Web <--------> MS sql <-----> servergame 3) Web <--------------> MS sql + servergame (Từng cụm là từng máy, 2 màu thể hiện 2 line khác nhau) Nó dos web mà ảnh hưởng tới server thì mình nghĩ là trong phần dịch vụ của web, nếu không thì chỉ có web có vấn đề thôi, đằng này server cũng "hưởng" theo. :D  
Suy nghĩ, hay chính xác hơn là cách đặt vấn đề, như bạn seraphp trên đây là khoa học, hợp lý. Khi một hệ thống có nhiều thiết bị, thưc hiện các nhiệm vụ, chức năng khác nhau, thì vấn đề quan trọng nhất là phải thiết lập một sơ đồ bố trí (topology) hợp lý trên mạng. Một sơ dồ hợp lý sẽ giảm thiểu các trục trặc cho hệ thống khi hoạt động, cũng như hạn chế tối đa số lượng và tác hại của các cuộc tấn công từ bên ngoài, trong đó có tấn công DoS. Từ sơ đồ mạng đã vạch ra, căn cứ yêu cầu, nhiệm vụ của hệ thống (thí dụ public web, xây dựng gameonline, forum, tạo file server... vân vân), ta mới chọn thiết bị phù hợp, kể cả các thiết bị mạng. Vì vậy chúng ta không nên: - Làm ngược lại, nghĩa là "nhảy thẳng vào thiết bị", không hề suy nghĩ đến một sơ đồ mạng hợp lý. Khi có trục trặc thì loay hoay sửa chữa, cấu hình (config.), harden lại thiết bị...mà không hề nghĩ đến sơ đồ hệ thống. Vì có thể sơ đồ hệ thống hiện hữu đã có những sai sót cơ bản. Khi một chiếc máy bay mới thiết kế gặp trục trặc thì việc khắc phục trước hết là việc của Tổng công trình sư, không phải là việc một hay hai kỹ sư cơ khí, điện, thấy máy bay hư hỏng bèn nhảy bổ vào sửa chữa lung tung. - Kỹ thuật mạng (trong đó có thiết bị mạng) hiện phát triển mạnh, có thể nói là như vũ bão. Có rất nhiều kỹ thuật mới cũng như thiết bị mới có khả năng hoàn thành đồng thời nhiều nhiệm vụ phức tạp, mà trước đây phải nhiều thiết bị mới làm đựoc. Vì vậy chúng ta không nên suy nghĩ và thực hiện một việc, công trình theo cách mà chúng ta đã học thời học sinh, sinh viên, hay theo các kiến thức cũ kỹ trước đây. Trở lại vấn đề của bạn levinthan thì theo tôi trước hết bạn phải tìm ra một optimal topology (sơ đồ tối ưu) cho hệ thống của bạn. Sau đó tìm các thiết bị mới (nếu thấy rất cần và có...tiền), rồi lắp hệ thống theo sơ đồ và chạy thử, kiểm tra hệ thống khi bị tấn công, như vừa rồi. Hiện nay có vẻ bạn đang "rối"? Tôi hình dung tâp tin httpd.conf trong Apache (vốn dài hơn 10 trang A4 khi in ra) có lẽ đã dày đặc các dòng sửa chữa, bổ sung, mà chắc bạn cũng không nhớ hết. Giống như, thôi thì khi mắc trọng bệnh, ai mách thuốc gì, bèn uống thuốc đó ngay. Thành ra cơ thể là kho chứa thuốc. Trong một hệ thống Public web, có nhiều service, thì web server (đây ý nói là trình quản lý web như Apache, IIS...) luôn là khâu yếu nhất, dễ tổn thương nhất và nó lại nằm ở lớp cuối cùng, sâu nhất trong mô hình hệ thống (lớp Application). Vì vậy cố gắng không thể để, hay hạn chế các gói tin "tấn công" vào đến đó. Cần cố gằng loại nó từ vòng ngoài. Trước một cuộc tấn công DoS hay DDoS mạnh, viêc config. lại Apache, thí dụ config. trong httpd.conf, là không cần thiết, mất công. Nó chỉ có tác dụng phòng thâm nhập dùng các exploit code. Ngoài ra tôi thấy bạn phải canh chừng để tắt Apache khi bị tấn công-mất công quá. Song đó là việc cần làm, vì như tôi đã nói, Apache dễ bị tổn thương. Nhưng có một cơ cấu trong firewall của các security router, như Draytek router, làm nhiệm vụ ấy một cách tự động và thông minh, theo chỉ định lúc đầu của ta. - - ]]>
/hvaonline/posts/list/18838.html#113569 /hvaonline/posts/list/18838.html#113569 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113590 /hvaonline/posts/list/18838.html#113590 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#113622 /hvaonline/posts/list/18838.html#113622 GMT Re: Flood Apache Webserver. 58.186.167.115 - - [08/Feb/2008:03:29:46 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18692 58.186.167.115 - - [08/Feb/2008:03:29:46 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18692 "-" "Microsoft URL Control - 6.00.8862" 58.186.167.115 - - [08/Feb/2008:03:29:58 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 58.186.167.115 - - [08/Feb/2008:03:29:58 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862" 58.186.167.115 - - [08/Feb/2008:03:30:10 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 58.186.167.115 - - [08/Feb/2008:03:30:10 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862" 58.186.167.115 - - [08/Feb/2008:03:30:16 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 58.186.167.115 - - [08/Feb/2008:03:30:16 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862" 58.186.167.115 - - [08/Feb/2008:03:30:23 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 58.186.167.115 - - [08/Feb/2008:03:30:23 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862" 58.186.167.115 - - [08/Feb/2008:03:30:29 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 58.186.167.115 - - [08/Feb/2008:03:30:29 +0700] "GET /tamu/main.php?op=rankings HTTP/1.1" 200 18693 "-" "Microsoft URL Control - 6.00.8862"  ]]> /hvaonline/posts/list/18838.html#113904 /hvaonline/posts/list/18838.html#113904 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114441 /hvaonline/posts/list/18838.html#114441 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114457 /hvaonline/posts/list/18838.html#114457 GMT Re: Flood Apache Webserver.

levinthan wrote:
Chào các bạn. Trước tiên mình rất cảm ơn các bạn đã nhiệt tình giúp đỡ mình trong thời gian vừa qua . Mình đã biết được rất nhiều kiến thức qua các lần cố gắng bảo mật cho server . Hôm nay là 12/02 rồi . Đã gần 2 tháng kể từ lúc bị tấn công . Không có ngày nào mà ăn ngủ yên cả . Lúc nào cũng ngồi trên máy để canh và nghiên cứu chống lại . Mình đã thử rất nhiều cách từ router firewall ngoài , firewall software, isa, mod apache , các script cho web , giới hạn connnection ,... đủ thứ nhưng vẫn không khắc phục được . Rất buồn. Cái cảm giác thật sự khó diễn tả ... Hôm nay mình sniff 1 đoạn port 80 ghi lại hoạt động của webserver vào thời điểm bị tấn công ( liên tục từ lúc 05:50 PM và kéo dài 20 phút ) kèm log của apache server. Rất mong các bạn có thể bỏ chút thời gian ra xem xét và chỉ hộ giúp mình.Lần này mà mình vẫn không sửa được nữa thì có nước bó tay mất :( Đây là file : http://stukyo.com/120208.rar Địa chỉ IP của máy là 192.168.1.3 . Hiện mình đã gộp appserv và mssql lại chạy chung trên máy này luôn để tiện theo dõi. Rất cảm ơn các bạn đã quan tâm giúp đỡ .  
Hello levinthan, Tình trạng PDU và fragmentation như trước đã giảm rất nhiều. Đây là dấu hiệu đáng mừng. Có 2 điểm quan trọng trong đoạn sniff trên: 1) Dùng Basic Auth (tamu) không khắc phục được flood đâu vì cái này có thể chèn vào công cụ gì đó để flood một cách dễ dàng. 2) Đoạn sniff ngắn ngủi cho thấy bồ bị x-flash và các x-flash request này chỉ nhắm vào các file trong mục /tamu/images/ và /tamu/swf/. Chúng không dồn dập mà chỉ cách rời khoảng 1 đến 2 giây cho mỗi request. Tôi nhớ tôi có đề nghị bạn đưa 1 đoạn rule cho mod_security vào để cản x-flash. Có lẽ bồ chưa thực hiện hoặc chưa thực hiện đúng nên không có tác dụng ngăn chặn gì cả. Tôi không rõ bồ sniff thế nào mà chỉ capture được packets đi từ bên ngoài vào mà không có packets trả lời (đi từ server ra). Bồ thử điều chỉnh lại và sniff lại. Thiếu phần đi ra, việc phân tích cực kỳ hạn chế. Thân mến.]]>
/hvaonline/posts/list/18838.html#114531 /hvaonline/posts/list/18838.html#114531 GMT
Re: Flood Apache Webserver.

levinthan wrote:
HIc . Mình dùng line VNN 4MB. Cấu hình máy mạnh lắm . Xeon 2g4 . Ram 4g . Hdd 200gb . lúc bị flood , CPU và RAM không hề bị quá tải . Chỉ có apache server thôi . 
Quá lởm line ADSL 4m của VNN là down 4096 Up 640 giá trọn gói là ~1,8 triệu 1 tháng đã bao gồm thếu ,máy cũng quá yếu phải dùng con xeon 3,2 g 4 chíp 4 lõi ram ít phải 16G Hdd phải là SCSI 15k/rpm . Vấn đề ở đây là dường truyền bạn đã tham khảo các game khác chưa như MU fpt họ đặt server tại đâu ?, võ lâm truyền kỳ mất bao tiền đặt máy chủ tại các ISP khác nhau, MUHN ngày xưa đặt máy chủ tại bưu điện hà nội bạn biết kinh phí là bao nhiêu không ngày xưa có bị lag không bây giờ thêu đường truyền của ai lag như thế nào, ,vấn đề game cực kỳ tốn băng thông ko làm gì cũng ngang ngữa bị ddos ko tin bạn đặt thử 1 đoạn fim xxx thật hot nên 1 cái host của bạn ví dụ bạn thêu bên mỹ thì có nhiều người down vào die host ngay. mình nghĩ bạn nên đặt hẳn máy chủ tại các ISP thì hiện tượng của bạn sẽ hết, còn các MU free toàn thêu host lởm lên cái nào cũng yếu khách hàng kêu ca nhiều, còn hiện tượng Flood Apache Webserver thì phải là cái web site hocccna.com đấy nó dùng apache nên khi bị ddos nó sẽ báo như thế chứ vẫn đề của bạn quá ngớ ngẩn]]>
/hvaonline/posts/list/18838.html#114538 /hvaonline/posts/list/18838.html#114538 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114551 /hvaonline/posts/list/18838.html#114551 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114591 /hvaonline/posts/list/18838.html#114591 GMT Re: Flood Apache Webserver. GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/main.php?op=user x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT If-None-Match: "e5b0000000041dd-db66-444c0539c3b80" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:44 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=512 ETag: "e5b0000000041dd-db66-444c0539c3b80" GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/main.php?op=user x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT If-None-Match: "e5b0000000041dd-db66-444c0539c3b80" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:45 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=511 ETag: "e5b0000000041dd-db66-444c0539c3b80" GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/main.php?op=user x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT If-None-Match: "e5b0000000041dd-db66-444c0539c3b80" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:46 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=510 ETag: "e5b0000000041dd-db66-444c0539c3b80" GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/main.php?op=user x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT If-None-Match: "e5b0000000041dd-db66-444c0539c3b80" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:48 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=509 ETag: "e5b0000000041dd-db66-444c0539c3b80" GET /tamu/includes/image_verify.php HTTP/1.1 Accept: */* Referer: http://ta1.myvnc.com/tamu/main.php?op=myaccount Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 200 OK Date: Wed, 13 Feb 2008 06:06:48 GMT Server: Apache X-Powered-By: PHP/5.2.4 Expires: Mon, 26 Jul 1997 05:00:00 GMT Cache-Control: no-store, no-cache, must-revalidate Pragma: no-cache Last-Modified: Wed, 13 Feb 2008 06:06:49 GMT Cache-Control: post-check=0, pre-check=0 Content-Length: 1133 Keep-Alive: timeout=15, max=508 Connection: Keep-Alive Content-Type: image/jpeg ......JFIF.............>CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), default quality ...C.............. .. ................. $.' ",#..(7),01444.'9=82<.342...C........ .2!.!22222222222222222222222222222222222222222222222222........2.."...................................... .....................}........!1A..Qa."q.2....#B...R..$3br.. .....%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz........................................................................................................ .....................w.......!1..AQ.aq."2...B.....#3R..br. .$4.%.....&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz....................... .............................................................?..[+(..[....8YQ..{.l.U\....$......k.y..q%.....C(.4.[v..v2B.?6...p ..R{]>...U....)...PU...1..%....y..n......7+......F(...#...a..n.9.@.J..+.i)......^..R.U....F...?/g...<.E........'..A..J.%......T.....@.F....R........dsS..k.A.m.)t..R...........a.Y......O.....Mqe...g..#...<. .. QK......S..;!sT.;zyz.*I..Z^I ...!H....W,....d]....y.<d...G.j2Z.3J..K:le%A*...RJ...5r}B.T.M...J.e..w...F....$...@$..=k...[....}.L.$..2....:.N. )..sv....(.5 (.. (.. (.. (..?.. GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/main.php?op=user x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT If-None-Match: "e5b0000000041dd-db66-444c0539c3b80" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:50 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=507 ETag: "e5b0000000041dd-db66-444c0539c3b80" GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/main.php?op=user x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT If-None-Match: "e5b0000000041dd-db66-444c0539c3b80" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:52 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=506 ETag: "e5b0000000041dd-db66-444c0539c3b80" GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/main.php?op=user x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT If-None-Match: "e5b0000000041dd-db66-444c0539c3b80" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:53 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=505 ETag: "e5b0000000041dd-db66-444c0539c3b80" GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/main.php?op=myaccount x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT If-None-Match: "e5b0000000041dd-db66-444c0539c3b80" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:54 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=504 ETag: "e5b0000000041dd-db66-444c0539c3b80" GET /tamu/swf/main_navi.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/ x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 03 Sep 2007 22:20:36 GMT If-None-Match: "23600000000479d-22017-4394294f341fc" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:55 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=503 ETag: "23600000000479d-22017-4394294f341fc" GET /tamu/swf/logo.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/swf/main_navi.swf x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 07 Jan 2008 14:34:20 GMT If-None-Match: "9a00000000479c-6e8e-44322c1771ac0" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:55 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=502 ETag: "9a00000000479c-6e8e-44322c1771ac0" GET /tamu/images/newportrait1.jpg HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/images/slideshow.swf x-flash-version: 9,0,115,0 Cache-Control: no-transform Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 07 Jan 2008 14:51:10 GMT If-None-Match: "55a000000003ffa-9d4e-44322fdab56fa" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:06:56 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=501 ETag: "55a000000003ffa-9d4e-44322fdab56fa" GET /tamu/images/newportrait2.jpg HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/images/slideshow.swf x-flash-version: 9,0,115,0 Cache-Control: no-transform Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 07 Jan 2008 14:59:51 GMT If-None-Match: "fb80000000041aa-fb85-443231cb742f2" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:07:01 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=500 ETag: "fb80000000041aa-fb85-443231cb742f2" GET /tamu/swf/nav_menu_mutoolz_new.swf HTTP/1.1 Accept: */* Accept-Language: en-US Referer: http://ta1.myvnc.com/tamu/main.php?op=myaccount x-flash-version: 9,0,115,0 Accept-Encoding: gzip, deflate If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT If-None-Match: "e5b0000000041dd-db66-444c0539c3b80" User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Connection: Keep-Alive Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a HTTP/1.1 304 Not Modified Date: Wed, 13 Feb 2008 06:07:05 GMT Server: Apache Connection: Keep-Alive Keep-Alive: timeout=15, max=499 ETag: "e5b0000000041dd-db66-444c0539c3b80" POST /tamu/main.php?op=myaccount HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */* Referer: http://ta1.myvnc.com/tamu/main.php?op=myaccount Accept-Language: en-us Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: ta1.myvnc.com Content-Length: 143 Connection: Keep-Alive Cache-Control: no-cache Cookie: PHPSESSID=2da7c724ef47f60e1c22ae11587f6c5a login=xxxxxxxx&account_login=account_login&pass=xxxxxxx®istration=registration&verifyinput2=43802&Submit=%C4%90%C4%83ng+nh%E1%BA%ADp%21   Có gì đặc biệt ở các phần đã được tô màu? Những phần sau đó đều tương tự. 1) Request gởi đến server của bồ được khai báo là nó dùng x-flash plugin để request (phần x-flash-version). 2) Request gởi đến liên tục có cùng 1 giá trị Referer. Đây là điểm bất hợp lệ bởi vì cùng một request đến nav_menu_mutoolz_new.swf phải xảy ra liên tục và có cùng 1 Referer? 3) Trong khi đó, server của bồ đã respond 304, có nghĩa là file này không thay đổi, browser nên dùng bản đã được cache. 4) Client gởi request đến và đòi hỏi rằng: If-Modified-Since: Mon, 28 Jan 2008 03:58:54 GMT (nếu thay đổi từ lúc 3:58:54 giờ GMT thì cung cấp bản mới) mặc dù server liên tục báo là "không có gì thay đổi" (code 304). Với biên độ request như thế, chứng tỏ firewall của bồ hoàn toàn không giới hạn request rate và vì lý do gì đó, mod_security hoàn toàn không có tác dụng. Bồ nên xem lại hai yếu tối quan trọng này.]]> /hvaonline/posts/list/18838.html#114610 /hvaonline/posts/list/18838.html#114610 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114614 /hvaonline/posts/list/18838.html#114614 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114620 /hvaonline/posts/list/18838.html#114620 GMT Re: Flood Apache Webserver.

levinthan wrote:
Hic . Mình đã gỡ hết các file flash SWF xuống rồi mà vẫn bị đánh bầm dập. Liệu các file IMG có thể bị đánh không vậy comale ? Hay tất cả mọi thứ đều có thể bị DDOS ???  
gọi B là web bị dos Mình hiểu Xflash là mượn 1(hay nhiều) trang web(gọi là A) nhiều người truy cập, rồi gắn cái flash có độc trên đó. Mỗi người truy cập vào trang web A thì sẽ đồng thời mở 1 request tới trang web B (trong web B có thể có flash, hình ảnh(img), text,film...), web B sẽ reply Vậy càng nhiều web A(A1,A2,A3,...) , càng nhiều ngừơi truy cập vào các web A(1,2,3,....) thì web B càng bị dos nhiều hơn. Do đó cho dù gỡ hết SWF, hình ảnh, âm thanh,... thì cũng bị dos như thường.]]>
/hvaonline/posts/list/18838.html#114659 /hvaonline/posts/list/18838.html#114659 GMT
Re: Flood Apache Webserver. Tuy vậy, phương thức này cũng có những nhược điểm: * Thứ nhất, nó chỉ chống được thế hệ xFlash hiện tại. Theo nghiên cứu của riêng tôi, Flash, cụ thể là Flash Player 9 với ActionScript 3, cực kì nguy hiểm. Cách làm này sẽ không thể chống được thế hệ xFlash mới được phát triển dựa trên tính năng của ActionScript 3. Ngoài ra, nếu kẻ tấn công biết cách khai thác các lỗ hổng của Flash 9 trở về trước, phương thức này cũng sẽ trở nên vô tác dụng. * Thứ hai, nó chỉ phát hiện và chống được POST request từ xFlash. Theo anh con-ma-le cho biết, một số biến thể xFlash hiện tại chỉ chơi GET request mà thôi.  ]]> /hvaonline/posts/list/18838.html#114661 /hvaonline/posts/list/18838.html#114661 GMT Re: Flood Apache Webserver.

levinthan wrote:
Hic . Khổ tâm thật . mod security thì không chống được . Cản request rate cũng không xong . Giờ thì biết NGUYÊN DO rồi , các bạn tư vấn mình cách nào phòng chống với. Đang xem về mod_line_edit mà đọc thấy ...
Tuy vậy, phương thức này cũng có những nhược điểm: * Thứ nhất, nó chỉ chống được thế hệ xFlash hiện tại. Theo nghiên cứu của riêng tôi, Flash, cụ thể là Flash Player 9 với ActionScript 3, cực kì nguy hiểm. Cách làm này sẽ không thể chống được thế hệ xFlash mới được phát triển dựa trên tính năng của ActionScript 3. Ngoài ra, nếu kẻ tấn công biết cách khai thác các lỗ hổng của Flash 9 trở về trước, phương thức này cũng sẽ trở nên vô tác dụng. * Thứ hai, nó chỉ phát hiện và chống được POST request từ xFlash. Theo anh con-ma-le cho biết, một số biến thể xFlash hiện tại chỉ chơi GET request mà thôi. 
 
Tôi không rành cái firewall bồ dùng nên không thể góp ý cho bồ khoản giới hạn request rate trên firewall ấy. Tuy nhiên, tôi có thể giúp bồ khoản mod_security. Việc đầu tiên bồ cần xác định xem mod_security có thật sự làm việc trên apache của bồ hay không. Xem thử trong nơi chứa log của apache có xuất hiện log của mod_security hay không? Xem thử trong error_log của apache có gì đụng chạm đến mod_security hay không? Nếu không, bồ phải thực hiện lại việc cài đặt mod_security cho đúng rồi mới có thể tính tiếp. Bồ nên biết rằng, với trang web của bồ, mỗi request đi thẳng đến một module php là mỗi "cú đấm" làm tổn hại. Nó không những tổn hại tài nguyên của apache mà nó còn tổn hại tài nguyên của DB bởi nó tương tác trực tiếp đến việc truy vấn đến database. Tôi đưa ra hai điểm cần khắc phục ở bài trước vì hai lý do: 1) Một khi bồ có thể giới hạn số lượng request trong mỗi giây thì dung hại sẽ giảm hẳn bởi vì nó không có cơ hội "đập" dồn dập nữa. Cái này phải thiết lập trên firewall. Tìm tài liệu về sản phẩm firewall bồ dùng mà tham khảo cho thật kỹ các chức năng này. 2) Firewall có thể bỏ sót những request dung hại. Bởi thế, một số request dung hại vẫn có thể vào đến apache. mod_security trở thành công cụ quý giá để cản lọc những request ấy trước khi nó đi sâu vào trong. Có những trường hợp bồ bị DDoS với các request hoàn toàn hợp lệ. Bởi thế, firewall chỉ có thể giới hạn biên độ request và mod_security không có gì để cản cả. Trong trường hợp này, ứng dụng web của bồ phải có đủ khả năng cản lọc những request có vẻ không hợp lý. Ví dụ: người dùng (có session hẳn hòi) không thể request liên tục một trang, một bức ảnh nhiều lần trong một khoảng thời gian nào đó. Nếu có tình trạng không hợp lý này xảy ra, session ấy phải bị hủy ngay lập tức để duy trì tính ổn định cho trang web. Đây là tầng tự vệ cuối cùng (và quan trọng nhất) trước hiểm họa DDoS. Trên bình diện lập trình web, tôi không thể đi sâu được bởi vì tôi không biết trang web bồ có cái gì. Good luck.]]>
/hvaonline/posts/list/18838.html#114662 /hvaonline/posts/list/18838.html#114662 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114665 /hvaonline/posts/list/18838.html#114665 GMT Re: Flood Apache Webserver.

levinthan wrote:
Hì hục hì hục . 6g rồi . Em mới mò ra . Hu hu hu . Trước giờ dùng cái mod_security 2.1.4 và 2.1.5 download từ http://www.apachelounge.com/. Củ chuối thật . làm y chang như trong file readme mà nó ko work . Dù đã loadmodules đủ hết , nhưng <IfModule mod_security2.c> </IfModule> thì ghi bùa ghi phèo gì bậy bạ trong đó nó cũng chạy vô tư , chả có sao cả :|. Làm include cái file .conf vào config mãi mà không thấy gì . Log mod_security cũng chả thấy đâu . Đến giờ mới mò được trang /www.gknw.net , vào down bản 2.1.1 về mà xài ( ko ham bản mới nữa ) thì rất good. Đang config lại . Quả là sai lầm . Hic . Làm báo comale quá , quả thật có lỗi . //Chỉnh : Ối trời . Cái SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400" phải dùng cho mod_security ver 1.xx . Vừa down và setup lại cái mod này bản 1.9 :( . Cho mình hỏi với cấu trúc là SecFilterSelective thì cho mod_security ver 2 là gì vậy ? Mình có thử SecRule mà nó báo lỗi , ứ chịu . Và tình hình là cái file log audit_log của mình nó ... tăng khá nhanh :| 
Đưa cái config mới nhất có dính mod_security lên xem?]]>
/hvaonline/posts/list/18838.html#114666 /hvaonline/posts/list/18838.html#114666 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114667 /hvaonline/posts/list/18838.html#114667 GMT Re: Flood Apache Webserver.

levinthan wrote:
SecFilterEngine On SecFilterCheckURLEncoding On SecFilterForceByteRange 32 126 SecAuditEngine RelevantOnly SecAuditLog logs/audit_log SecFilterDebugLog logs/modsec_debug_log SecFilterDebugLevel 0 # SecFilterScanPOST On SecFilterDefaultAction "deny,log,status:403" # chongxflash SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400" SecFilter /etc/passwd SecFilter "\.\./" SecFilter "<[[:space:]]*script" SecFilter "<(.|\n)+>" SecFilter "delete[[:space:]]+from" SecFilter "insert[[:space:]]+into" SecFilter "select.+from" SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$" SecFilterSelective "HTTP_CONTENT_TYPE" multipart/form-data Nãy mình không đế ý , set SecFilterScanPOST On, thành ra nó chận POST hết , players login vào account control panel nó chận sạch :| nên log audit tăng ào ào . Hiện tại mình đã di dời tất cả các IMG và SWF lên host của servage.net , Web chỉ còn text , script , php , htm . Với mod security như trên và dời img , swf đi thì chắc hắn sẽ không đánh vào flash nữa . Mà là request này nọ ( mình nghĩ vậy ) . Để sáng nay theo dõi thử 1 cái nữa xem sao . Xem xem hắn sẽ đánh vào đâu . Nếu vẫn bị thì mình sẽ sniff lại 1 cái rồi gửi cho comale xem lại nhé . Cảm ơn rất nhiều . Không có comale giúp chắc giờ đập đầu vào màn hình mất thôi. 
Vậy bồ dùng mod_security version 2? hay 1.9? Nếu bồ dùng 1.9 thì đoạn rule ở trên phải OK. Nếu bồ dùng version 2 thì phải viết lại. mod_security 2 không dùng Directive SecFilter nữa mà nó dùng SecRule. Tham khảo thêm ở: http://www.modsecurity.org/documentation/modsecurity-apache/2.1.5/modsecurity2-apache-reference.html Ví dụ đoạn: SecFilterSelective "HEADERS" "x-flash-version" "deny,status:400" phải thay đổi thành: SecRule REQUEST_HEADERS_NAMES "x-flash-version" "deny,status:400" Những phần khác phải đổi hết thì mới chạy được.]]>
/hvaonline/posts/list/18838.html#114668 /hvaonline/posts/list/18838.html#114668 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114669 /hvaonline/posts/list/18838.html#114669 GMT Re: Flood Apache Webserver. 99.231.220.166 - - [13/Feb/2008:13:22:20 +0700] "GET /tamu/main.php?op=downloads HTTP/1.1" 200 28079 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:27 +0700] "GET /tamu/images/nzMenuSet.js HTTP/1.1" 200 11558 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:27 +0700] "GET /tamu/includes/helptip.js HTTP/1.1" 200 9303 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:28 +0700] "GET /tamu/images/global.css HTTP/1.1" 200 15618 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:29 +0700] "GET /tamu/images/bg.gif HTTP/1.1" 200 54 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:29 +0700] "GET /tamu/images/blank.gif HTTP/1.1" 200 43 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:29 +0700] "GET /tamu/images/pds.css HTTP/1.1" 200 7287 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:30 +0700] "GET /tamu/images/bodyTop.gif HTTP/1.1" 200 1257 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:30 +0700] "GET /tamu/images/top.jpg HTTP/1.1" 200 70734 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:31 +0700] "GET /tamu/images/Revolution-title.jpg HTTP/1.1" 200 30229 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:32 +0700] "GET /tamu/images/left.jpg HTTP/1.1" 200 3424 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:33 +0700] "GET /tamu/images/menu01off.gif HTTP/1.1" 200 1175 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:33 +0700] "GET /tamu/images/menu02off.gif HTTP/1.1" 200 1239 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:33 +0700] "GET /tamu/images/menu03off.gif HTTP/1.1" 200 2877 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:34 +0700] "GET /tamu/images/menu05off.gif HTTP/1.1" 200 2746 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:34 +0700] "GET /tamu/images/menu07off.gif HTTP/1.1" 200 2683 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:35 +0700] "GET /tamu/images/060705a.gif HTTP/1.1" 200 8609 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:35 +0700] "GET /tamu/images/bottom.gif HTTP/1.1" 200 473 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:35 +0700] "GET /tamu/images/pdsGallery.gif HTTP/1.1" 200 2314 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:36 +0700] "GET /tamu/images/bodyBg.gif HTTP/1.1" 200 68 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:36 +0700] "GET /tamu/images/titlePic1.gif HTTP/1.1" 200 2878 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:37 +0700] "GET /tamu/images/bullet1.gif HTTP/1.1" 200 280 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:37 +0700] "GET /tamu/images/lineMapBg.gif HTTP/1.1" 200 282 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:37 +0700] "GET /tamu/images/lineMapBox1.gif HTTP/1.1" 200 1491 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:37 +0700] "GET /tamu/images/lineMapBox2.gif HTTP/1.1" 200 1427 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:38 +0700] "GET /tamu/images/lbg.gif HTTP/1.1" 200 4962 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:38 +0700] "GET /tamu/images/titlePic2.gif HTTP/1.1" 200 366 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:39 +0700] "GET /tamu/images/0.gif HTTP/1.1" 200 43 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:39 +0700] "GET /tamu/images/box_list_top.gif HTTP/1.1" 200 1995 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:39 +0700] "GET /tamu/images/num01.gif HTTP/1.1" 200 409 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:39 +0700] "GET /tamu/images/num02.gif HTTP/1.1" 200 426 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:40 +0700] "GET /tamu/images/box_list_lft.gif HTTP/1.1" 200 64 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:40 +0700] "GET /tamu/images/help.gif HTTP/1.1" 200 540 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:41 +0700] "GET /tamu/images/box_list_btm.gif HTTP/1.1" 200 2045 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:41 +0700] "GET /tamu/images/box_list_rht.gif HTTP/1.1" 200 73 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:41 +0700] "GET /tamu/images/num03.gif HTTP/1.1" 200 423 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:41 +0700] "GET /tamu/images/pic1.jpg HTTP/1.1" 200 1491 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:42 +0700] "GET /tamu/images/bottomBg1.gif HTTP/1.1" 200 35469 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:42 +0700] "GET /tamu/images/btnPrivacy.png HTTP/1.1" 200 4085 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)" 99.231.220.166 - - [13/Feb/2008:13:22:42 +0700] "GET /tamu/images/pic2.jpg HTTP/1.1" 200 1484 "http://ta1.myvnc.com/tamu/swf/nav_menu_mutoolz_new.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MEGAUPLOAD 2.0)"   Ngoài ra, bồ xem lại phần logging directive của apache vì bồ log mỗi entry 2 lần đó.]]> /hvaonline/posts/list/18838.html#114670 /hvaonline/posts/list/18838.html#114670 GMT Re: Flood Apache Webserver. Ngoài ra, bồ xem lại phần logging directive của apache vì bồ log mỗi entry 2 lần đó.  Cảm ơn / Mình đã sửa lại rồi . Sáng nay ngủ dậy lại thấy bị đánh tè le . Hic . Lúc đó đang ngủ nên không sniff được. Để tí nữa nó flood , mình sniff lại xem sao . Đã thử gỡ các flash xuống mà vẫn bị.]]> /hvaonline/posts/list/18838.html#114723 /hvaonline/posts/list/18838.html#114723 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114727 /hvaonline/posts/list/18838.html#114727 GMT Re: Flood Apache Webserver.

levinthan wrote:
Hic . Sáng nay vẫn bị đánh . comale xem giúp mình xem nó lại đánh vào đâu nhé. Không hiểu được là tại sao gỡ img và swf xuống hết mà vẫn bị. http://stukyo.com/140208.rar 
Vẫn vậy thôi. Đừng loay hoay với mấy cái này nữa. Nên đọc kỹ những gì tôi đề nghị và làm cho đến nơi, đến chốn rồi tính tiếp.]]>
/hvaonline/posts/list/18838.html#114809 /hvaonline/posts/list/18838.html#114809 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#114849 /hvaonline/posts/list/18838.html#114849 GMT Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#115446 /hvaonline/posts/list/18838.html#115446 GMT Re: Flood Apache Webserver.

levinthan wrote:
Cả ngày hôm nay bị đánh bầm mình luôn . Từ sáng đến tối . Dù các flash đã được xóa . Các IMG đều được load từ host khác . Buồn thay . Sáng mai mình sẽ canh và sniff lại xem xem lần này là bị đánh vào đâu nữa . 
Chừng nào bồ còn dùng ADSL hạn chế như thế và chạy apache trên Windows, chừng ấy bồ còn "bầm mình" dài dài.]]>
/hvaonline/posts/list/18838.html#115447 /hvaonline/posts/list/18838.html#115447 GMT
Re: Flood Apache Webserver. /hvaonline/posts/list/18838.html#115510 /hvaonline/posts/list/18838.html#115510 GMT Flood Apache Webserver. /hvaonline/posts/list/18838.html#261375 /hvaonline/posts/list/18838.html#261375 GMT