Tekil Mesaj gösterimi - Botnet Saldırılarında Apacheyi ayakta tutmak yada tutamamak

Konu Botnet Saldırılarında Apacheyi ayakta tutmak yada tutamamak

22-04-2008, 17:23:12

#6

Elazığlı168

sunucuoptimizasyon.com

whm kullanıyorsan apache statustan aynı görüntüyü alabilirsin komutlara gelirsek komutu çalıştırdığında alt satıra geçiyorsa komut çalışmıştır netstat -an komutundaki çıkan her ip saldırı olacak diye bir şey yok ayrıca

Alıntı

netstat -na | grep ":80 " | wc -l

komutuyla apacheye gelen istek sayısı ( kullanıcı sayısı ) nı görebilirsin abartılı bir şekilde 1500-2000 gibi rakamlar çıkıyorsa botnettir ve 1500-2000 botla yapılan bir saldırıysa denemedim ama aşağıdaki işlemlerle saldıran ipleri iptablesten banlayabilirsin iptables 2000 ipe kadar banlama yapabilir

ilk önce root ssh ile bağlanarak

cd ..
cd tmp

komutlarıyla tmp dizinine gidin

nano ban

komutuyla tmp içinde ipler diye bir dosya oluşturun

netstat -an komutu ile yada en güzeli whm panel kullanıyorsanız apache statustan sürekli istek gelen sitenin bulunduğu bölümleri komple kopyalayın not defterine atın ardından excele aktarın ipleri bir tablo içine alarak tekrar not defterine aktarın

11.11.111.11
22.22.222.22
33.3.333.333

şeklinde düzenleyerek tmp içinde oluşturduğunuz ipler dosyası içine yazılır ve alttaki komut çalıştırılarak bu ipler banlanmış olur

Alıntı

while read ipler; do iptables -A INPUT -s $ipler -j DROP ; done < /tmp/ipler

böylelilkle sunucumuz 3-4 k bota kadar dayanacaktır ( teorik olarak ) daha fazlasında yine gümleyebilir

Önemli dipnot: Çoğu arkadaşımız saldırı geldiğinde ssh ye falan giremessinki falan diyebilir çok çeşitli botnet saldırıları var zamanında aldığım bir saldırıda microsof url control adındaki botlar siteye giriyordu hattı 40 mbite fırlatıp sunucuya erişimi tamamen engelliyordu yukardaki htaccess kodundan sonra bu saldırı serveri etkilememeye başladı ardından farklı bir saldırı geldi mrtg 0 landı çünkü bu sefer apache gümlemişti ancak diğer servisler çalışıyordu işte böyle bir saldırıda sshden rahatça gelen istekleri görüp rahat rahat dediklerimi yapabilirsiniz ben uygulayacaktım ama saldırı kesildi şansıma deneyemedim bunu haricinde makineye ulaşamıyorsanız reboot paneliniz varsa ordan yada dc ile iletişime geçerek reboot attırıp sunucu açılır açılmaz makina fail olmadan apacheyi durdurup işlemleri yapabilirsiniz biraz hızlı olmaya bakıyor dediklerim

Serveri kendine ait olan ve botnet saldırı alan arkadaşlara ücretsiz destek veriyorum