Botnet Saldırılarında Apacheyi ayakta tutmak yada tutamamak

[Elazığlı168]

Arkadaşlar ufak ve orta büyüklükte botnet saldırıları alan arkadaşlar için dün denediğim bir kaç korunma yöntemini anlatacağım

Başka bir Webmaster Forumunda tartıştığımız bir botçu arkadaşın botnet saldırısına uğradım araya adam soktuk saldırıyı kesti 1 saatlik kesinti yaşadık arkadaş dün gece tekrar saldırmaya başladı mrtgmizi 40 mbite kadar fırlatmayı başardı elim kolum bağlı olayı izlemeyecektim

İlk önce saldırı alan sitenin nslerini google a çektim bi süre sonra mrtg indi ardından yaptığım şeyleri anlatayım

1.Makinayı ping isteklerine kapattım
Komut

Alıntı:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2.Syn Flooding Saldırılarda syn cookie tutup apacheyi şişirmemesi için
Komut

Alıntı:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

3.Smurf Saldırılar içinde
Komut

Alıntı:

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Ardından yaptığım tespitte saldırı alan sitemizin online.php sini incelediğimde ( site vbulletin ) ziyaretçilerin ip bilgilerinde Microsoft Url Control yazıyordu yani botlar bu isimle geliyordu ufak bi araştırmayla Microsoft Url Controlün sunucunun anasını ağlatan aşırı trafik kullanan bir şey olduğunu buldum bunuda saldırı alan sitemin .htaccess ine eklediğim kodla hallettim

Kod

Alıntı:

RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} "Microsoft URL Control"
RewriteRule .* - [F,L]

Sonuç olarak Dün gece hafif hafif 60-70 zombiyle devam eden saldırı bu sabah baktığımda 300 zombie bota kadar sürüyor apache statusta sürekli wwwwwwwwwwwwwwwwwww ler görmeme rağmen apache ayakta server loadı 1-3 arası gidip geliyor ( normal zamandada böyle ) ancak ekstradan ram kullanımı artışı oluyor normalde quad core 5 gb ramli serverimizde ram kullanımı %10-15 arasıyken saldırı aldığımız şu anda ram kullanımı %40-50 lere kadar çıkabiliyor ancak server hala ayakta daha düşük konfigürasyonlu serverlerde ilk etapta load artışı olabilir siteler db error verebilir bunun için my.cnf daki max_connections değerleri arttırılabilir

Şu An saldırı etkisini azaltarak devam ediyor sabah kalktığımda apachede 400 e yakın zombi vardı sayısı azaldı gittikçe




Şunu belirtmekte fayda var sunucu özelliklerine hat kapasitesine ve gelen saldırı büyüklüğüne göre bu söylediklerimin işe yarama yada yaramama ihtimali var bana gelen 350-400 zombiyi rağmen apache ayakta ama tahminim bunun 2-3 katı bir zombiyi daha kaldırabilir denemek lazım

[leMAN]

geçmiş olsun

[CaLViN]

Elazığlı canım sen botları banlamışsın.
Gelen saldırılarda apache yi ayakta tutman imkansızdır.
Ki zaten hattını şişirirler.

[Elazığlı168]

yukarda botların banlanmasına en yakın şey htaccesse eklenen kodlardır onun haricinde iptables yada firewalla ilgili ekstra bir şey yapmadım şu an saldırı hala gelmekte ve siteler açık

[PcQoPaT]

Süper bi paylaşım emeğine ellerine sağlık.
Faydası olacak bir bilgi bence. Kanaatim işine yarayacak kişiler kullansın.
Benim şu anda işime yaramıyor ama ilerde illaki işime yarayacaktır. Rep ini peşin peşin yolluyorum

[TuRKuaZz]

Çok akıllıca düşünmüşsün

[mrtcbks]

resimi göremiyorum kardeş büyütsene

[firar]

botnet çi arkadaşı merak ettim ben yaa

[mrtcbks]

bu botçular başa bela her yerde aynı şeyi okuyorum.

[Elazığlı168]

Alıntı:

mrtcbks´isimli üyeden Alıntı

resimi göremiyorum kardeş büyütsene

resimde apache statusun görüntüsü var zombilerden gelen writing,reply isteklerini gösteriyor

botçu ismi lazım olmayan ufak bir arkadaş kendisiyle görüştük msnde bir türlü adresini vermek istemedi