Форум русскоязычного сообщества Ubuntu


За новостями русскоязычного сообщества и Ubuntu в целом можно следить на нашей страничке в Google+

Автор Тема: Это DOS? Как с этим бороться?  (Прочитано 1356 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн cebephb1y

  • Автор темы
  • Новичок
  • *
  • Сообщений: 49
    • Просмотр профиля
Это DOS? Как с этим бороться?
« : 19 Март 2016, 18:52:36 »
sudo cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c

(Нажмите, чтобы показать/скрыть)
ip со значениями около 100 и их превышающие это ip стран Китай, США, Германия, Франция, Англия. значения под 200 из Стран Германия и США. Это ДОС? Подскажите как с этим бороться? Может еще какие есть интересные команды, куда можно глянуть?
вот еще лог, чистый
sudo tail -f /var/log/fail2ban.log
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 19 Март 2016, 18:55:51 от cebephb1y »

Оффлайн jura12

  • Старожил
  • *
  • Сообщений: 1183
  • debian 9, manjaro
    • Просмотр профиля
Re: Это DOS? Как с этим бороться?
« Ответ #1 : 19 Март 2016, 19:15:15 »
кроме fail2ban есть еще modsecurity. я его неосилил. рекомендую. вещь термоядерная.
сопротивление бессполезно

Оффлайн cebephb1y

  • Автор темы
  • Новичок
  • *
  • Сообщений: 49
    • Просмотр профиля
Re: Это DOS? Как с этим бороться?
« Ответ #2 : 19 Март 2016, 19:17:25 »
может есть какой-нибудь скрипт небольшой, который например банит ip если запросов больше 50? (50 будет оптимально?) еще пробую банить страны по geoip.. будет толк? вот по этой статье
(Нажмите, чтобы показать/скрыть)
если я забаню США и другие страны - ко мне на сайт смогут заходить поисковики?
« Последнее редактирование: 19 Март 2016, 19:52:06 от cebephb1y »

Оффлайн serhy

  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: Это DOS? Как с этим бороться?
« Ответ #3 : 19 Март 2016, 23:33:26 »
может есть какой-нибудь скрипт небольшой, который например банит ip если запросов больше 50?
Точно сейчас сказать не могу, но что то такое я устанавливал с modsecurity. Называется mod_evasive, посмотрите, возможно он. Не помню идет ли он отдельно от modsecurity или нет.

кроме fail2ban есть еще modsecurity. я его неосилил. рекомендую. вещь термоядерная.
Mod security вещь офигенная, очень много запрещающих правил, хорошо подходит владельцам собственного сервера, кто юзает 1,2 cms движка, но если установить его на хостинг, сбегут все клиенты имхо.

Пользователь решил продолжить мысль [time]20 Март 2016, 00:40:04[/time]:
В mod_evasive есть такие параметры https://www.poseti.net/articles/mod-evasive-dlya-apache
Устанавливал по инструкции от сюда, шаг 5 https://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server
« Последнее редактирование: 19 Март 2016, 23:41:28 от serhy »

Оффлайн cebephb1y

  • Автор темы
  • Новичок
  • *
  • Сообщений: 49
    • Просмотр профиля
Re: Это DOS? Как с этим бороться?
« Ответ #4 : 20 Март 2016, 06:28:25 »
может есть какой-нибудь скрипт небольшой, который например банит ip если запросов больше 50?
Точно сейчас сказать не могу, но что то такое я устанавливал с modsecurity. Называется mod_evasive, посмотрите, возможно он. Не помню идет ли он отдельно от modsecurity или нет.

кроме fail2ban есть еще modsecurity. я его неосилил. рекомендую. вещь термоядерная.
Mod security вещь офигенная, очень много запрещающих правил, хорошо подходит владельцам собственного сервера, кто юзает 1,2 cms движка, но если установить его на хостинг, сбегут все клиенты имхо.

Пользователь решил продолжить мысль [time]20 Март 2016, 00:40:04[/time]:
В mod_evasive есть такие параметры https://www.poseti.net/articles/mod-evasive-dlya-apache
Устанавливал по инструкции от сюда, шаг 5 https://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server
modsecurity я так понимаю это мод апача. хорошо апач защитим, а что если злоумышленик будет атаковать другой сервис? мне бы хотелось банить ip по привешинию лимита запросов к любому сервису сервера. где то видел модификацию команды sudo cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c, она позволяла поставить минимум запросов, и команда выводила все ip с запросами выше этого числа. вот бы скинуть эти ip в файлик и забанить каждый(можно еще сделать разбан через месяц), сейчас что то не могу найти(

Пользователь решил продолжить мысль [time]20 Март 2016, 08:42:27[/time]:
вот такой скрипт сделал, почитав интернет.
(Нажмите, чтобы показать/скрыть)
если его поставить в cron на каждую минут будет толк?
вот еще дополнил скрипт:
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 20 Март 2016, 16:54:08 от cebephb1y »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26052
    • Просмотр профиля
Re: Это DOS? Как с этим бороться?
« Ответ #5 : 20 Март 2016, 18:17:25 »
Вот только не -A INPUT а -A ваша_отдельная_таблица
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: Это DOS? Как с этим бороться?
« Ответ #6 : 20 Март 2016, 18:38:23 »
вот такой скрипт сделал, почитав интернет.
Дело, конечно Ваше, но это костыль. Всё делается штатными средствами.
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн cebephb1y

  • Автор темы
  • Новичок
  • *
  • Сообщений: 49
    • Просмотр профиля
Re: Это DOS? Как с этим бороться?
« Ответ #7 : 20 Март 2016, 20:43:07 »
вот такой скрипт сделал, почитав интернет.
Дело, конечно Ваше, но это костыль. Всё делается штатными средствами.
подскажите, где посмотреть?

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: Это DOS? Как с этим бороться?
« Ответ #8 : 20 Март 2016, 21:36:28 »
В этом же разделе, моя тема.
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

 

Страница сгенерирована за 0.058 секунд. Запросов: 24.