Это DOS? Как с этим бороться?

[cebephb1y]

sudo cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c

(Нажмите, чтобы показать/скрыть)

  11478 ::1
      2 104.128.144.131
      6 104.148.44.116
      1 109.75.185.95
     12 119.97.146.76
      1 120.132.95.90
      1 120.132.95.95
      2 123.59.59.52
      1 123.59.67.149
      1 130.193.37.3
      6 130.193.37.4
      1 130.193.37.5
      1 130.193.50.5
      1 130.193.51.101
      1 130.193.51.16
      1 130.193.51.33
      1 130.193.51.46
      1 130.193.51.68
      1 130.193.51.73
      1 130.193.51.84
      1 130.193.51.88
      1 130.193.51.92
      2 130.193.51.99
      1 141.212.122.145
      1 141.212.122.209
      1 141.8.132.6
      1 141.8.142.11
      4 141.8.142.31
      1 141.8.142.79
      1 141.8.142.89
      4 144.76.29.66
     90 144.76.93.46
      1 150.70.173.46
      2 150.70.173.47
      1 150.70.173.49
      1 150.70.173.5
      1 150.70.173.50
      1 150.70.173.53
      1 150.70.173.57
      2 150.70.173.58
      1 150.70.173.8
      2 150.70.173.9
      1 150.70.188.165
      1 150.70.188.166
      1 150.70.188.176
      1 150.70.188.177
      1 150.70.188.178
      1 150.70.188.179
      1 150.70.188.180
      1 150.70.188.182
      1 151.12.58.2
      2 151.80.44.115
      9 157.55.39.253
      2 158.69.200.203
      2 159.122.222.194
    148 162.210.196.98
      2 163.172.12.117
      1 163.172.13.21
      1 169.229.3.91
    201 173.234.153.123
      2 176.9.131.69
      2 177.38.28.31
      1 178.216.200.48
      1 180.76.15.12
      1 180.76.15.155
      1 180.76.15.19
      1 180.76.15.20
      1 180.76.15.8
      1 185.103.252.25
      2 185.130.5.146
      2 185.25.151.159
      8 185.25.176.234
      2 185.25.62.43
      1 185.40.4.27
      4 185.52.143.38
      1 185.92.72.15
      1 188.162.14.17
      4 188.232.138.49
      2 192.99.144.140
      2 193.124.183.58
      2 194.28.112.173
      1 194.28.115.229
      3 195.154.185.20
      1 205.209.140.180
      6 207.46.13.114
      2 207.46.13.47
      1 209.126.230.71
      2 209.249.5.245
     43 212.47.253.128
      1 213.87.120.200
      2 221.193.212.211
     20 223.82.247.33
      2 46.50.215.227
      2 51.254.129.87
      2 51.255.48.155
      1 5.255.253.122
      1 5.255.253.14
     10 5.255.253.34
      1 5.255.253.35
      1 5.255.253.39
      1 5.255.253.57
      1 5.255.253.97
    101 54.152.13.55
      1 54.191.216.77
      3 5.9.87.111
    127 62.210.170.165
      1 62.210.252.43
      2 62.210.90.118
      3 64.202.160.248
      1 66.249.65.102
      2 66.249.65.105
      2 66.249.65.99
      4 66.249.66.175
      6 66.249.66.178
      6 66.249.66.181
      2 66.249.78.196
      4 66.249.78.203
      6 66.249.78.210
    186 69.30.213.138
    271 69.30.214.38
      2 82.165.135.208
      1 85.142.20.210
     10 89.163.148.58
      1 91.196.93.145
      2 92.126.114.91
    145 92.236.71.145
      1 93.113.125.12
      1 93.158.152.23
      1 93.158.152.34
      1 93.158.152.82
      1 93.158.152.83
      3 94.154.239.69
      1 94.41.203.143

ip со значениями около 100 и их превышающие это ip стран Китай, США, Германия, Франция, Англия. значения под 200 из Стран Германия и США. Это ДОС? Подскажите как с этим бороться? Может еще какие есть интересные команды, куда можно глянуть?
вот еще лог, чистый
sudo tail -f /var/log/fail2ban.log

(Нажмите, чтобы показать/скрыть)

2016-03-15 16:35:43,414 fail2ban.filter : INFO   Set maxRetry = 6
2016-03-15 16:35:43,415 fail2ban.filter : INFO   Set findtime = 600
2016-03-15 16:35:43,416 fail2ban.actions: INFO   Set banTime = 600
2016-03-15 16:35:43,437 fail2ban.jail   : INFO   Jail 'ssh' started
2016-03-15 16:35:43,469 fail2ban.jail   : INFO   Jail 'ssh-ddos' started
2016-03-15 16:35:43,472 fail2ban.jail   : INFO   Jail 'apache' started
2016-03-15 16:35:43,756 fail2ban.jail   : INFO   Jail 'apache-multiport' started
2016-03-15 16:35:43,781 fail2ban.jail   : INFO   Jail 'apache-noscript' started
2016-03-15 16:35:43,841 fail2ban.jail   : INFO   Jail 'apache-overflows' started
2016-03-15 16:35:43,887 fail2ban.jail   : INFO   Jail 'vsftpd' started

[jura12]

кроме fail2ban есть еще modsecurity. я его неосилил. рекомендую. вещь термоядерная.

[cebephb1y]

может есть какой-нибудь скрипт небольшой, который например банит ip если запросов больше 50? (50 будет оптимально?) еще пробую банить страны по geoip.. будет толк? вот по этой статье

(Нажмите, чтобы показать/скрыть)

https://debian.pro/510

если я забаню США и другие страны - ко мне на сайт смогут заходить поисковики?

[serhy]

может есть какой-нибудь скрипт небольшой, который например банит ip если запросов больше 50?

Точно сейчас сказать не могу, но что то такое я устанавливал с modsecurity. Называется mod_evasive, посмотрите, возможно он. Не помню идет ли он отдельно от modsecurity или нет.

кроме fail2ban есть еще modsecurity. я его неосилил. рекомендую. вещь термоядерная.

Mod security вещь офигенная, очень много запрещающих правил, хорошо подходит владельцам собственного сервера, кто юзает 1,2 cms движка, но если установить его на хостинг, сбегут все клиенты имхо.
Пользователь решил продолжить мысль [time]20 Март 2016, 00:40:04[/time]:В mod_evasive есть такие параметры https://www.poseti.net/articles/mod-evasive-dlya-apache
Устанавливал по инструкции от сюда, шаг 5 https://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

[cebephb1y]

может есть какой-нибудь скрипт небольшой, который например банит ip если запросов больше 50?

Точно сейчас сказать не могу, но что то такое я устанавливал с modsecurity. Называется mod_evasive, посмотрите, возможно он. Не помню идет ли он отдельно от modsecurity или нет.

кроме fail2ban есть еще modsecurity. я его неосилил. рекомендую. вещь термоядерная.

Mod security вещь офигенная, очень много запрещающих правил, хорошо подходит владельцам собственного сервера, кто юзает 1,2 cms движка, но если установить его на хостинг, сбегут все клиенты имхо.
Пользователь решил продолжить мысль [time]20 Март 2016, 00:40:04[/time]:В mod_evasive есть такие параметры https://www.poseti.net/articles/mod-evasive-dlya-apache
Устанавливал по инструкции от сюда, шаг 5 https://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

modsecurity я так понимаю это мод апача. хорошо апач защитим, а что если злоумышленик будет атаковать другой сервис? мне бы хотелось банить ip по привешинию лимита запросов к любому сервису сервера. где то видел модификацию команды sudo cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c, она позволяла поставить минимум запросов, и команда выводила все ip с запросами выше этого числа. вот бы скинуть эти ip в файлик и забанить каждый(можно еще сделать разбан через месяц), сейчас что то не могу найти(
Пользователь решил продолжить мысль [time]20 Март 2016, 08:42:27[/time]:вот такой скрипт сделал, почитав интернет.

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#сохрнаяем в файл ddos.iplist адреса, с которых превышен лимит завпросов
sudo cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | awk '$1>30' | sort -nr | grep -v '::1' > ddos.iplist
sudo cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | awk '$1>30' | sort -nr | grep -v '::1' >> ddos.all_banned

#баним адреса
awk '{print "/sbin/iptables -A INPUT -s "$2" -j REJECT";}' ddos.iplist > iptables_ban.sh

# запускаем скрипт бана IP атакующих
bash iptables_ban.sh

если его поставить в cron на каждую минут будет толк?
вот еще дополнил скрипт:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#сохрнаяем в файл ddos.iplist адреса, с которых превышен лимит запросов в  apache
sudo cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | awk '$1>30' | sort -nr | grep -v '::1' > ddos.iplist
sudo cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | awk '$1>30' | sort -nr | grep -v '::1' >> ddos.all_banned

sudo netstat -ntu | awk '{print $5}'| cut -d: -f1 | sort | uniq -c | sort -nr | more | awk '$1>30' | grep -v '127.0.0.1' >> ddos.iplist
sudo netstat -ntu | awk '{print $5}'| cut -d: -f1 | sort | uniq -c | sort -nr | more | awk '$1>30' | grep -v '127.0.0.1' >> ddos.all_banned


#баним адреса
awk '{print "/sbin/iptables -A INPUT -s "$2" -j REJECT";}' ddos.iplist > iptables_ban.sh

# запускаем скрипт бана IP атакующих
bash iptables_ban.sh

[AnrDaemon]

Вот только не -A INPUT а -A ваша_отдельная_таблица

[koshev]

вот такой скрипт сделал, почитав интернет.

Дело, конечно Ваше, но это костыль. Всё делается штатными средствами.

[cebephb1y]

вот такой скрипт сделал, почитав интернет.

Дело, конечно Ваше, но это костыль. Всё делается штатными средствами.

подскажите, где посмотреть?

[koshev]

В этом же разделе, моя тема.