مشکل بلوک نشدن آی پی های ddos کننده

[Shabgard]

سلام
سرور من از حدود 30 تا IP داره DDOS میشه به این صورت که صفحه ای از یکی از سایت ها رو با کانکشن های زیاد لود می کنن گاهی اوقات حتی دیدم یه ای پی 1473 تا کانکشن داره!
آی پی ها رو شناسایی کردم ، سعی کردم با iptables بلوکشون کنم اما وقتی دستور رو می زنم هنوز هم کانکشن ها برقراره.

iptables -A INPUT -s 123.123.123.123 -j DROP

حتی از این تاپیک هم کمک گرفتم: http://www.webhostingtalk.ir/showthread.php?t=213
اما اون اسکریپت هم میتونه آی پی ها رو block کنه فقط نشون میده هر آی پی چند تا کانکشن داره

حتی توی htaccess. هم IP range ها رو با دستور deny from بلوکه کردم
بعد از تمام این کارا وب سرور رو هم ریستارت کردم
اما این هم پاسخگو نیست

کسی می دونه چرا؟

[Vahid]

شما برو یه CSF نصب کن و با CSF ایپی ها رو بلاک کن
اموزش نصب CSF توی فروم هست
ایپی هم میتونی برای بلاک توی ادرس زیر وارد کنی
/etc/csf/csf.deny
موفق پیروز باشی سوال داشتی بپرس

[Shabgard]

سلام مرسی از راهنماییتون،
این کارو کردم، اما بعد از حدود بیست دقیقه پرمیشن public_html سایت ها بسته شد (000)!
مجبور شدم فایروال رو غیر فعال کنم و به دیتاسنتر هم آمار دادم ترافیک آی پی های مورد نظرم رو از روتر ببندن
ظاهرا این مشکل حل شد.

یه مشکل دیگه که ایجاد شده اینه که توی httpd status به تعداد بالا request در حال reading... وجود داره
که اینم یه نوع DDOS هستش
فعلا keep-alive رو disable کردم یه مقدار بهتر شده
کسی راه حلی برای این سراغ داره؟

[aoscentral]

سلام
سرور من از حدود 30 تا IP داره DDOS میشه به این صورت که صفحه ای از یکی از سایت ها رو با کانکشن های زیاد لود می کنن گاهی اوقات حتی دیدم یه ای پی 1473 تا کانکشن داره!
آی پی ها رو شناسایی کردم ، سعی کردم با iptables بلوکشون کنم اما وقتی دستور رو می زنم هنوز هم کانکشن ها برقراره.

iptables -A INPUT -s 123.123.123.123 -j DROP

حتی از این تاپیک هم کمک گرفتم: http://www.webhostingtalk.ir/showthread.php?t=213
اما اون اسکریپت هم میتونه آی پی ها رو block کنه فقط نشون میده هر آی پی چند تا کانکشن داره

حتی توی htaccess. هم IP range ها رو با دستور deny from بلوکه کردم
بعد از تمام این کارا وب سرور رو هم ریستارت کردم
اما این هم پاسخگو نیست

کسی می دونه چرا؟

سلام ,

VPS هستید یا سرور ؟ اگر vps : از چه برنامه مجازی سازی استفاده می کنید ؟

این دستور اجرا کنید و خروجی در پست بعدی بدید :

کد:

service iptables status

همینطور برای بلوک کردن هم از این دستور استفاده کنید ببینید جواب میده یا نه ! :

کد:

iptables -I INPUT -s 123.123.123.123 -j DROP

موفق باشید

[Shabgard]

سلام
سرور ددیکیت هستیم
اون مشکل رو هم عرض کردم حل شد
الان مشکل با کانکشن هایی به apache هست که تو حالات reading... می مونن

[aoscentral]

سلام
سرور ددیکیت هستیم
اون مشکل رو هم عرض کردم حل شد
الان مشکل با کانکشن هایی به apache هست که تو حالات reading... می مونن

سلام ,

اگر فایل خاصی مدام read میشه از دستور زیر استفاده کنید :

کد:

iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "filename.php" -j DROP

و اگر فایل ها متفاوت هست فایل httpd.conf را ویرایش کنید و Timeout روی 5 قرار بدید

موفق باشید

[samanenic]

سلام دوست عزیز این مشکل برا ما هم رخ داد به یکی از سرور هامون مشکل رو ما کشف کردیم تو لیست سایتهاتون کسی با phpbb انجمن ساز کار میکنه عامل اصلی ddos این هست با این نرم افزار DonutHTTP.rar میان این کارو میکنن این نرم افزار باعث میشه httpd سرور لود بسیار بالایی داشته باشه این نرم افزار گونه ای هست که ip های بن شده رو به صورت نا مرعی یا نامشخص وارد سرور میکنه و تو نرم افزار یک قسمتی هست به نام proxy که با اون میتونه با 100 ip به سرور کانکت کنه و رم سرور رو درجا بالا ببره اگه رو سرور دایرکت ادمین دارین این نتیجه هست :








directadmindirectadmin (pid 4009 4010 4011 4012 4013 32250 )StartStopRestartReload
dovecotdovecot (pid 31951 )StartStopRestartReload
eximexim (pid 32259 )StartStopRestartReload
httpdhttpd (pid 3306 3324 3327 3329 3330 3335 3351 3352 3353 3364 3365 3367 3368 3369 3370 3371 3372 3373 3374 3375 3376 3380 3381 3382 3383 3384 3385 3387 3388 3389 3390 3391 3392 3393 3394 3395 3400 3401 3402 3403 3404 3405 3406 3407 3408 3409 3410 3411 3412 3413 3414 3415 3416 3417 3418 3419 3420 3421 3422 3423 3424 3425 3426 3427 3428 3429 3430 3431 3436 3437 3438 3439 3440 3441 3442 3443 3444 3445 3446 3447 3448 3449 3450 3451 3452 3453 3454 3455 3456 3457 3458 3459 3460 3461 3462 3463 3464 3465 3466 3467 3469 3470 3471 3472 3473 3474 3475 3476 3477 3478 3479 3480 3481 3482 3483 3484 3485 3486 3487 3488 3489 3490 3491 3492 3493 3494 3495 3496 3497 3498 3499 3500 3503 3504 3505 3506 3507 3508 3509 3510 3511 3512 3513 3514 3515 3516 3517 3518 3519 3520 3521 3522 3523 3524 3526 3527 3528 3530 3531 3532 3533 3534 3535 3536 3554 3556 3557 3566 3567 3568 3569 3607 3608 3609 3610 3611 3612 3613 3614 3631 3632 3633 3634 3635 3636 3637 3638 3640 3641 3642 3643 3644 3645 3646 3647 3669 3670 3671 3672 3673 3674 3675 3676 3677 3678 3679 3680 3681 3682 3683 3684 3685 3686 3687 3688 3689 3690 3691 3692 3694 3696 3699 3701 3703 3704 3707 3709 3732 3733 3734 3735 3736 3737 3738 3739 3740 3741 3742 3743 3744 3745 3746 3747 3748 3749 3750 3751 3752 3753 3754 3755 3756 3757 3758 3759 3760 3761 3762 3763 3781 3782 3783 3784 3785 3786 3787 3788 3789 3790 3791 3792 3793 3794 3795 3796 3797 3798 3799 3800 3801 3802 3803 3804 3805 3806 3807 3808 3809 3810 3811 3812 3852 3853 3854 3855 3856 3857 3858 3859 3860 3861 3862 3863 3864 3865 3866 3867 3868 3869 3870 3871 3872 3873 3874 3875 3876 3877 3878 3879 3880 3881 3882 3883 3890 3891 3892 3893 3894 3895 3896 3897 3898 3899 3900 3901 3902 3903 3904 3905 3906 3907 3908 3909 3910 3911 3912 3913 3914 3915 3916 3917 3919 3920 3921 3941 3946 3947 3958 3959 3960 3961 3977 3978 3979 3980 3981 3982 3983 3984 3992 3993 3994 3995 3996 3997 3998 3999 4000 4001 4003 4004 4005 4006 4007 4008 4014 4015 4016 4017 4018 4019 4020 4021 4022 4023 4024 4025 4026 4027 4028 4029 4030 4031 4032 4033 4034 4035 4StartStopRestartReload
lfdProcess is stoppedStartStopRestartReload
mysqldmysqld (pid 32120 32121 32122 32123 32124 32125 32127 32128 32129 32130 )StartStop
namednamed (pid 1794 )StartStopRestartReload
proftpdproftpd (pid 1413 )StartStopRestart
sshdsshd (pid 3249 3250 3251 3279 3280 3281 3309 3311 3312 3346 32077 )StartStopRestartReload

[arazit]

سلام دوست عزیز این مشکل برا ما هم رخ داد به یکی از سرور هامون مشکل رو ما کشف کردیم تو لیست سایتهاتون کسی با phpbb انجمن ساز کار میکنه عامل اصلی ddos این هست با این نرم افزار donuthttp.rar میان این کارو میکنن این نرم افزار باعث میشه httpd سرور لود بسیار بالایی داشته باشه این نرم افزار گونه ای هست که ip های بن شده رو به صورت نا مرعی یا نامشخص وارد سرور میکنه و تو نرم افزار یک قسمتی هست به نام proxy که با اون میتونه با 100 ip به سرور کانکت کنه و رم سرور رو درجا بالا ببره اگه رو سرور دایرکت ادمین دارین این نتیجه هست :








Directadmindirectadmin (pid 4009 4010 4011 4012 4013 32250 )startstoprestartreload
dovecotdovecot (pid 31951 )startstoprestartreload
eximexim (pid 32259 )startstoprestartreload
httpdhttpd (pid 3306 3324 3327 3329 3330 3335 3351 3352 3353 3364 3365 3367 3368 3369 3370 3371 3372 3373 3374 3375 3376 3380 3381 3382 3383 3384 3385 3387 3388 3389 3390 3391 3392 3393 3394 3395 3400 3401 3402 3403 3404 3405 3406 3407 3408 3409 3410 3411 3412 3413 3414 3415 3416 3417 3418 3419 3420 3421 3422 3423 3424 3425 3426 3427 3428 3429 3430 3431 3436 3437 3438 3439 3440 3441 3442 3443 3444 3445 3446 3447 3448 3449 3450 3451 3452 3453 3454 3455 3456 3457 3458 3459 3460 3461 3462 3463 3464 3465 3466 3467 3469 3470 3471 3472 3473 3474 3475 3476 3477 3478 3479 3480 3481 3482 3483 3484 3485 3486 3487 3488 3489 3490 3491 3492 3493 3494 3495 3496 3497 3498 3499 3500 3503 3504 3505 3506 3507 3508 3509 3510 3511 3512 3513 3514 3515 3516 3517 3518 3519 3520 3521 3522 3523 3524 3526 3527 3528 3530 3531 3532 3533 3534 3535 3536 3554 3556 3557 3566 3567 3568 3569 3607 3608 3609 3610 3611 3612 3613 3614 3631 3632 3633 3634 3635 3636 3637 3638 3640 3641 3642 3643 3644 3645 3646 3647 3669 3670 3671 3672 3673 3674 3675 3676 3677 3678 3679 3680 3681 3682 3683 3684 3685 3686 3687 3688 3689 3690 3691 3692 3694 3696 3699 3701 3703 3704 3707 3709 3732 3733 3734 3735 3736 3737 3738 3739 3740 3741 3742 3743 3744 3745 3746 3747 3748 3749 3750 3751 3752 3753 3754 3755 3756 3757 3758 3759 3760 3761 3762 3763 3781 3782 3783 3784 3785 3786 3787 3788 3789 3790 3791 3792 3793 3794 3795 3796 3797 3798 3799 3800 3801 3802 3803 3804 3805 3806 3807 3808 3809 3810 3811 3812 3852 3853 3854 3855 3856 3857 3858 3859 3860 3861 3862 3863 3864 3865 3866 3867 3868 3869 3870 3871 3872 3873 3874 3875 3876 3877 3878 3879 3880 3881 3882 3883 3890 3891 3892 3893 3894 3895 3896 3897 3898 3899 3900 3901 3902 3903 3904 3905 3906 3907 3908 3909 3910 3911 3912 3913 3914 3915 3916 3917 3919 3920 3921 3941 3946 3947 3958 3959 3960 3961 3977 3978 3979 3980 3981 3982 3983 3984 3992 3993 3994 3995 3996 3997 3998 3999 4000 4001 4003 4004 4005 4006 4007 4008 4014 4015 4016 4017 4018 4019 4020 4021 4022 4023 4024 4025 4026 4027 4028 4029 4030 4031 4032 4033 4034 4035 4startstoprestartreload
lfdprocess is stoppedstartstoprestartreload
mysqldmysqld (pid 32120 32121 32122 32123 32124 32125 32127 32128 32129 32130 )startstop
namednamed (pid 1794 )startstoprestartreload
proftpdproftpd (pid 1413 )startstoprestart
sshdsshd (pid 3249 3250 3251 3279 3280 3281 3309 3311 3312 3346 32077 )startstoprestartreload

سلام
خوب چطور جلوشو گرفتين؟