Arkadaşlar ufak ve orta büyüklükte botnet saldırıları alan arkadaşlar için dün denediğim bir kaç korunma yöntemini anlatacağım

Forumda tartıştığımız bir botçu arkadaşın botnet saldırısına uğradım araya adam soktuk saldırıyı kesti 1 saatlik kesinti yaşadık arkadaş dün gece tekrar saldırmaya başladı mrtgmizi 40 mbite kadar fırlatmayı başardı elim kolum bağlı olayı izlemeyecektim

İlk önce saldırı alan sitenin nslerini google a çektim bi süre sonra mrtg indi ardından yaptığım şeyleri anlatayım

1.Makinayı ping isteklerine kapattım
Komut
2.Syn Flooding Saldırılarda syn cookie tutup apacheyi şişirmemesi için
Komut
3.Smurf Saldırılar içinde
Komut
Ardından yaptığım tespitte saldırı alan sitemizin online.php sini incelediğimde ( site vbulletin ) ziyaretçilerin ip bilgilerinde Microsoft Url Control yazıyordu yani botlar bu isimle geliyordu ufak bi araştırmayla Microsoft Url Controlün sunucunun anasını ağlatan aşırı trafik kullanan bir şey olduğunu buldum bunuda saldırı alan sitemin .htaccess ine eklediğim kodla hallettim

Kod

Sonuç olarak Dün gece hafif hafif 60-70 zombiyle devam eden saldırı bu sabah baktığımda 300 zombie bota kadar sürüyor apache statusta sürekli wwwwwwwwwwwwwwwwwww ler görmeme rağmen apache ayakta server loadı 1-3 arası gidip geliyor ( normal zamandada böyle ) ancak ekstradan ram kullanımı artışı oluyor normalde quad core 5 gb ramli serverimizde ram kullanımı %10-15 arasıyken saldırı aldığımız şu anda ram kullanımı %40-50 lere kadar çıkabiliyor ancak server hala ayakta daha düşük konfigürasyonlu serverlerde ilk etapta load artışı olabilir siteler db error verebilir bunun için my.cnf daki max_connections değerleri arttırılabilir

Şu An saldırı etkisini azaltarak devam ediyor sabah kalktığımda apachede 400 e yakın zombi vardı sayısı azaldı gittikçe




Şunu belirtmekte fayda var sunucu özelliklerine hat kapasitesine ve gelen saldırı büyüklüğüne göre bu söylediklerimin işe yarama yada yaramama ihtimali var bana gelen 350-400 zombiyi rağmen apache ayakta ama tahminim bunun 2-3 katı bir zombiyi daha kaldırabilir denemek lazım

2.Yöntem ( Denendi Çalışıyor )

whm kullanıyorsan apache statustan aynı görüntüyü alabilirsin komutlara gelirsek komutu çalıştırdığında alt satıra geçiyorsa komut çalışmıştır netstat -an komutundaki çıkan her ip saldırı olacak diye bir şey yok ayrıca

komutuyla apacheye gelen istek sayısı ( kullanıcı sayısı ) nı görebilirsin abartılı bir şekilde 1500-2000 gibi rakamlar çıkıyorsa botnettir ve 1500-2000 botla yapılan bir saldırıysa denemedim ama aşağıdaki işlemlerle saldıran ipleri iptablesten banlayabilirsin iptables 2000 ipe kadar banlama yapabilir

ilk önce root ssh ile bağlanarak

cd ..
cd tmp

komutlarıyla tmp dizinine gidin

nano ban

komutuyla tmp içinde ipler diye bir dosya oluşturun

netstat -an komutu ile yada en güzeli whm panel kullanıyorsanız apache statustan sürekli istek gelen sitenin bulunduğu bölümleri komple kopyalayın not defterine atın ardından excele aktarın ipleri bir tablo içine alarak tekrar not defterine aktarın

11.11.111.11
22.22.222.22
33.3.333.333

şeklinde düzenleyerek tmp içinde oluşturduğunuz ipler dosyası içine yazılır ve alttaki komut çalıştırılarak bu ipler banlanmış olur

böylelilkle sunucumuz 3-4 k bota kadar dayanacaktır ( teorik olarak ) daha fazlasında yine gümleyebilir

Önemli dipnot: Çoğu arkadaşımız saldırı geldiğinde ssh ye falan giremessinki falan diyebilir çok çeşitli botnet saldırıları var zamanında aldığım bir saldırıda microsof url control adındaki botlar siteye giriyordu hattı 40 mbite fırlatıp sunucuya erişimi tamamen engelliyordu yukardaki htaccess kodundan sonra bu saldırı serveri etkilememeye başladı ardından farklı bir saldırı geldi mrtg 0 landı çünkü bu sefer apache gümlemişti ancak diğer servisler çalışıyordu işte böyle bir saldırıda sshden rahatça gelen istekleri görüp rahat rahat dediklerimi yapabilirsiniz ben uygulayacaktım ama saldırı kesildi şansıma deneyemedim bunu haricinde makineye ulaşamıyorsanız reboot paneliniz varsa ordan yada dc ile iletişime geçerek reboot attırıp sunucu açılır açılmaz makina fail olmadan apacheyi durdurup işlemleri yapabilirsiniz biraz hızlı olmaya bakıyor dediklerim

Serveri kendine ait olan ve botnet saldırı alan arkadaşlara ücretsiz destek veriyorum

Eklenmiş Mesaj

adsız.PNG (45,9 KB, 80 kez indirilmiştir)

__________________
1 Aylık 2 Pr3 ve 1 Pr2 Link sadece 10 ytl!

millet $$$$ boşuna ödüyor zaten firewall olmadan asla

__________________
SERÇE DİZİSİ | Benim Annem bir Melek

bu saldırının aynısını yine aynı arkadaş dozu biraz daha arttırarak yapmıştı ve apache kapanmıştı şimdi biraz daha dozu düşürerek yapıyor 50-100 botla rahat apacheyi kapatabilirsin ( botuna göre değişir ) 300 bota kadar apache ayaktaysa demekki bir zamana kadar önlenebiliyor tabiki gidipde 100k botla dalarsa adam ne htaccess kalır ne bişi

__________________
1 Aylık 2 Pr3 ve 1 Pr2 Link sadece 10 ytl!

Elazığlı168 'le Botnet olduğu gece bikaç şey denedik engellemek için
sonra ben uyudum o denemeye devam etmiş bulmuş engellemeyi birazcık
ama sadece kontrol ettiğinde (Microsoft URL Control) olarak gelen saldırıları bi nebze engellemiş

Eline sağlık kardeşim (:

__________________
Pr4 www.megatr.org | www.megatrhost.com

elazığlı dikkat etimde ekdek iresimde site adın yazıyor. Hangi site ne kadar cpu tüketiyor görebiliyormuyuz? Ben nasıl yaparım. mysql time 600 kuurlere çıkıyor. pingle alakalımı? bir zararı varmıdır? pingleri kapatında yukardaki kodla düzelir mi ? Bende saldırı alıyorumda çökertemediler ama mysql u şişiriyor anlık mysql stop olabilir. Donanım yükseol oldugundan down olmuyor sunucu ama zorlanıyor top -c de 1 zombie çıkıyor. netstat -n de sürüyle ip çıkıyor
Edit: dediğin komutları yazdım ama alt satıra geci yanlış kod yada dogru koddur diye bir uyarıda vermedi 3 koddada enterladı maltsatıra gecti sadece

__________________
Biri beni Durdursun :P

whm kullanıyorsan apache statustan aynı görüntüyü alabilirsin komutlara gelirsek komutu çalıştırdığında alt satıra geçiyorsa komut çalışmıştır netstat -an komutundaki çıkan her ip saldırı olacak diye bir şey yok ayrıca

komutuyla apacheye gelen istek sayısı ( kullanıcı sayısı ) nı görebilirsin abartılı bir şekilde 1500-2000 gibi rakamlar çıkıyorsa botnettir ve 1500-2000 botla yapılan bir saldırıysa denemedim ama aşağıdaki işlemlerle saldıran ipleri iptablesten banlayabilirsin iptables 2000 ipe kadar banlama yapabilir

ilk önce root ssh ile bağlanarak

cd ..
cd tmp

komutlarıyla tmp dizinine gidin

nano ban

komutuyla tmp içinde ipler diye bir dosya oluşturun

netstat -an komutu ile yada en güzeli whm panel kullanıyorsanız apache statustan sürekli istek gelen sitenin bulunduğu bölümleri komple kopyalayın not defterine atın ardından excele aktarın ipleri bir tablo içine alarak tekrar not defterine aktarın

11.11.111.11
22.22.222.22
33.3.333.333

şeklinde düzenleyerek tmp içinde oluşturduğunuz ipler dosyası içine yazılır ve alttaki komut çalıştırılarak bu ipler banlanmış olur

böylelilkle sunucumuz 3-4 k bota kadar dayanacaktır ( teorik olarak ) daha fazlasında yine gümleyebilir

Önemli dipnot: Çoğu arkadaşımız saldırı geldiğinde ssh ye falan giremessinki falan diyebilir çok çeşitli botnet saldırıları var zamanında aldığım bir saldırıda microsof url control adındaki botlar siteye giriyordu hattı 40 mbite fırlatıp sunucuya erişimi tamamen engelliyordu yukardaki htaccess kodundan sonra bu saldırı serveri etkilememeye başladı ardından farklı bir saldırı geldi mrtg 0 landı çünkü bu sefer apache gümlemişti ancak diğer servisler çalışıyordu işte böyle bir saldırıda sshden rahatça gelen istekleri görüp rahat rahat dediklerimi yapabilirsiniz ben uygulayacaktım ama saldırı kesildi şansıma deneyemedim bunu haricinde makineye ulaşamıyorsanız reboot paneliniz varsa ordan yada dc ile iletişime geçerek reboot attırıp sunucu açılır açılmaz makina fail olmadan apacheyi durdurup işlemleri yapabilirsiniz biraz hızlı olmaya bakıyor dediklerim

Serveri kendine ait olan ve botnet saldırı alan arkadaşlara ücretsiz destek veriyorum

__________________
1 Aylık 2 Pr3 ve 1 Pr2 Link sadece 10 ytl!

netstat -na | grep ":80 " | wc -
2246
Gerçi benim sorunum mysql dandı wp e 40 bin tekil gelince sunucunun halini düşünün bazı eklentileri kaldırdım db dende tablelerini kaldırdım az kücülttüm 40 load oldu 6-7 şimdilik sorun yok gibi. Ayrıca saol bilgilendirdiğin icin.

__________________
Biri beni Durdursun :P

Heşerim peki adamın biri 180 mbit ile dalıyorsa ne yapacaz :S

__________________

hattın 10 yada 100 mbitse ve 180 mbit saldırı geliyorsa zaten yapacak birşey yok yazımın 6 postta anlattığım olayda apache fail olduğu için mrtg şişmiyor hat şişirebilen saldırılar için makineyi pinge kapatmak bir çözüm olabilir ama ping harici hattı şişirebilen bir çok saldırı tipi var o kadar büyük bir saldırı almamak için dua edin ama illa çok botla çok hat şişiren saldırı az botla az hat şişiren saldırı yoktur exe nin yazılışına göre iş değişir 500 botla 200 mbit hatda şişer 2000 botla 50 mbit hat şişiremeyebilirsin

__________________
1 Aylık 2 Pr3 ve 1 Pr2 Link sadece 10 ytl!

arkadaşlar 6.postta verdiğim yöntemle serverimize 2 saatir gelen botnet saldırıyı engelledim 500 e yakın ip banladım ufakda olsa saldırı gelmekte ancak apacheyi etkileyecek kadar değil

__________________
1 Aylık 2 Pr3 ve 1 Pr2 Link sadece 10 ytl!