Google Fan Webmaster Forum - Tekil Mesaj Gösterimi - Botnet Saldırılarında Apacheyi ayakta tutmak yada tutamamak
Konu: Botnet Saldırılarında Apacheyi ayakta tutmak yada tutamamak
Tekil Mesaj Gösterimi
  #6 (permalink)  
Eski 22-04-2008, 17:23:12
Elazığlı168 Elazığlı168 isimli üye çevrimiçidir (Online)
 
Konya Şubesi
Nerden: Antalya-Konya
Mesajlar: 7.786
Thanks: 1
Thanked 0 Times in 0 Posts
iTrader Puanı: (45)
iTrader Feedback: (100%)
Rep puanı: 706
Elazığlı168 isimli üyemiz bir güneş gibi etrafını aydınlatıyor.Elazığlı168 isimli üyemiz bir güneş gibi etrafını aydınlatıyor.Elazığlı168 isimli üyemiz bir güneş gibi etrafını aydınlatıyor.Elazığlı168 isimli üyemiz bir güneş gibi etrafını aydınlatıyor.Elazığlı168 isimli üyemiz bir güneş gibi etrafını aydınlatıyor.Elazığlı168 isimli üyemiz bir güneş gibi etrafını aydınlatıyor.Elazığlı168 isimli üyemiz bir güneş gibi etrafını aydınlatıyor.
Elazığlı168 - YAHOO üzeri ndenMesaj gönder
Tanımlı
whm kullanıyorsan apache statustan aynı görüntüyü alabilirsin komutlara gelirsek komutu çalıştırdığında alt satıra geçiyorsa komut çalışmıştır netstat -an komutundaki çıkan her ip saldırı olacak diye bir şey yok ayrıca

Alıntı:
netstat -na | grep ":80 " | wc -l
komutuyla apacheye gelen istek sayısı ( kullanıcı sayısı ) nı görebilirsin abartılı bir şekilde 1500-2000 gibi rakamlar çıkıyorsa botnettir ve 1500-2000 botla yapılan bir saldırıysa denemedim ama aşağıdaki işlemlerle saldıran ipleri iptablesten banlayabilirsin iptables 2000 ipe kadar banlama yapabilir

ilk önce root ssh ile bağlanarak

cd ..
cd tmp

komutlarıyla tmp dizinine gidin

nano ban

komutuyla tmp içinde ipler diye bir dosya oluşturun

netstat -an komutu ile yada en güzeli whm panel kullanıyorsanız apache statustan sürekli istek gelen sitenin bulunduğu bölümleri komple kopyalayın not defterine atın ardından excele aktarın ipleri bir tablo içine alarak tekrar not defterine aktarın

11.11.111.11
22.22.222.22
33.3.333.333

şeklinde düzenleyerek tmp içinde oluşturduğunuz ipler dosyası içine yazılır ve alttaki komut çalıştırılarak bu ipler banlanmış olur

Alıntı:
while read ipler; do iptables -A INPUT -s $ipler -j DROP ; done < /tmp/ipler
böylelilkle sunucumuz 3-4 k bota kadar dayanacaktır ( teorik olarak ) daha fazlasında yine gümleyebilir

Önemli dipnot: Çoğu arkadaşımız saldırı geldiğinde ssh ye falan giremessinki falan diyebilir çok çeşitli botnet saldırıları var zamanında aldığım bir saldırıda microsof url control adındaki botlar siteye giriyordu hattı 40 mbite fırlatıp sunucuya erişimi tamamen engelliyordu yukardaki htaccess kodundan sonra bu saldırı serveri etkilememeye başladı ardından farklı bir saldırı geldi mrtg 0 landı çünkü bu sefer apache gümlemişti ancak diğer servisler çalışıyordu işte böyle bir saldırıda sshden rahatça gelen istekleri görüp rahat rahat dediklerimi yapabilirsiniz ben uygulayacaktım ama saldırı kesildi şansıma deneyemedim bunu haricinde makineye ulaşamıyorsanız reboot paneliniz varsa ordan yada dc ile iletişime geçerek reboot attırıp sunucu açılır açılmaz makina fail olmadan apacheyi durdurup işlemleri yapabilirsiniz biraz hızlı olmaya bakıyor dediklerim

Serveri kendine ait olan ve botnet saldırı alan arkadaşlara ücretsiz destek veriyorum
Konu Elazığlı168 tarafından (24-04-2008 Saat 01:57:56 ) de değiştirilmiştir..
Alıntı ile Cevapla