چطور میشه سورس آی پی حمله ddos رو پیدا کرد؟

[novinvps.com]

سلام و درود
این چند روز از این حملات زیاد داشتم.واسه انجنیکس از این استفاده کنید

کد PHP:

server {
...
if ($http_user_agent ~ WordPress) { return 444; }
...
} 


برای آپاچی بهتون میگم.اجازه دین تست کنم رو سرور دیگم

سلام
فقط

user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.

[IrIsT]

سلام
فقط

user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.

این برای حمله چند ایپی هستش که من خودم داشتم
دقیقا حملات به صورتیه که از شمت یک سیستم وردپرس و آسیب پذیری اون انجام میشه

شما میتونید useragent رو تغییر دهید.به لاگ ها نگاه کنید میفهمید
امروز تست واسه اماچی میرم.چندتا راه حل داره.اما میخوام بهترینشو واستون بذارم.درست بود میگم
چون خودم از سرورهای آمازون و علی بابا و کشورهای آمریکا و هنگ کنگ و ژاپن و کانادا حمله دارم.چون سرعتاشونم خیلی بالاست
میشه آیپی بلاک کرد.ولی بهتره راه حل بریم
بددود

[yastheme]

سلام
فقط

user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.

در حملات XMLRPC که حجم وسیعی از حملات لایه 7 این روزها را تشکیل می دهد User agent قابل تغییر نیست.
این روش که دوستمون گفتن جلوی حملات متوسط لایه 7 XMLRPC را میگیرد ولی گاهی اوقات ممکن است حملات به حد وسیعی باشد که منجر به هنگ کردن Nginx شود ؛ نیاز به کانفیگ مناسب دارد؛ در هر صورت User agent این نوع حملات قابل تغییر توسط اتکر نیست، حتی آی پی سرور اصلی اتکر نیز در Useragent لاگ می شود ( این آی پی با آی پی بات نتی که به شما رکوئست ارسال می کند متفاوت است).
البته نا گفته نماند در این روش پینگ بک وردپرس هم کامل در سرور بسته می شود و این قابلیت در سایت های وردپرسی روی این سرور دیگر قابل استفاده نیست.

[unix_magnet]

اینو نمیشه به جای اینکه تو همه server ها وارد کنیم یه جا وارد کنیم که به همشون اعمال بشه ؟ خیلی آزاردهندس همش باید این ور اون ور بگردیم دنبالش

[IrIsT]

سلام و درود
داخل هر سایت و کانفیگ مربوطش میشه اجرا کرد
تا الان خداروشکر روش اصلی آپاچی جواب داده.الان داره حمله میشه.نهایی شد میذارم.کد سختی نیست
اگرم کسی چک کرده و مطمئنه بذاره

[sahar_tym]

چطور میشه سورس آی پی خود حمله کننده ddos رو پیدا کرد؟

ممنون

سلام . از نظر عملی این کار امکان پذیر نیست . اگر تعداد آی پی حمله کننده محدود باشه ممکنه
یعنی فقط از جا به شما حمله شده اون آی پی مشخصه

[unix_magnet]

(از همه عزیزانی که منت سر بنده می زارن و جواب می دن سپاسگذارم چون هیچ شخصی بالاجبار در این تاپیک نیست و همه محبت شما عزیزان هست )
از غیرتی و عصبانیت شما سپاسگذارم
گاهی وقت ها عصبانیت ها و غیرت ها می تونن مشکلات عدیده ای رو حل کنن خشونت جزوی از حل مشکلات شبکه هست
مشکلات گاهی مواقع عومی هست و حل اون می تونه به بسیاری کمک شایانی بکنه

بنده به جاهای خوبی رسیدم از ریل کردن ای پی ها در nginx مثلا چهار ای پی 1.1.1.1 و 2 و 3 و 4 حمله می کنن اما ای پی پنهان 4.4.4.4 هست
ریل کردن پکت ها می تونه ای پی های واقعی رو هم بلوک کنه
بنا به فایروالی که در قول و زنجیر کردم به لاگ اخر توجه کنید که نصف پکت ها الان دارن بلاک میشن
من توی فایروال :

منهای 3 کشور بقیه کشورها رو بلاک کردم
رنج ای پی های مشکل ساز رو مسدود کردم
پکت های ناخواسته رو بستم ( انواع کانفیگ بر روی پکت ها )
ای پی ها رو ریل کردم
انواع پورت های مشکل ساز برای پکت های بالا رو بستم ( مثل بیش از 3 پکت تا رنج 65535 )
dns رو به dns های cloudflare تغییر دادم
کش سرور رو به nginx و محدویت کش رو برای بار کمتر تغییر دادم
ووووو


دارم تست می کنم ببینم ای پی هدف رو می تونم شناسایی کنم یا نه
باید دید این شانس رو می تونیم داشته باشیم که به موفقیت برسیم یا نه هر چند طی مسیر خودش خوب /. پر حرفی نمی کنم

---

به نظر می رسه دیتابیس زیر حمله هست
سه دلیل دارم :
وقتی دیتابیس اف میشه لود سرور به حالت اول برمیگرده
دوم اینکه سایت های استاتیک بدون دیتابیس مشکلی ندارن
سوم اینکه دیداس بر روی دو سایت مشخص داره انجام میه ( لاگ tcpdump )
البته cpu و کانفیگ mysql به کرات بررسی شدن . / (دیتا سنتر هم به دلیل overflow شدن بافر به دلیل پکت های بسیار زیاد با بنده احساس همدردی کردن ! )
اگر لاگ دستوری مد نظرتون بود بگید براتون بزارم

نمونه لاگ خدمت شما :
در نمونه لاگی که می زارم خدمتتون همین امروز باهاش مواجه شدم : دو تا چیز جدید دارم میبینم
اول اینکه تعداد پکت ها رو نمی نویسه
دوم اینکه جلوی بعضی آی پی ها خالی هست ! یعنی هیچ آی پی نشون داده نمیشه یعنی لاگ آی پی رو نمی ندازه به مورد ما قبل پایانی در لاگ اول توجه کنید

کد:

      1 162.158.92.211
      1 92.122.122.156
      3 37.98.83.187
      5
     20 0.0.0.0

کد:

      1 CLOSE_WAIT
      1 established)
      1 Foreign
      6 ESTABLISHED
     21 LISTEN

کد:

100 packets captured
821 packets received by filter
704 packets dropped by kernel

همونظور که میبینید تعداد پکت ها کاهش قابل ملاحظه ای داشتن
از چند حالت خارج نیست
یا دی داسر از دیداس دست کشیده
یا اینکه کانفیگ ها دارن ***** اعمال می کنن و تعداد درخواست ها از حدود 4000 رسیده به 10 درخواست

اگر به چیز دیگه ای رسیدم و یا رسیدید اینجا بزارید تا تاپیک بره جلو
بازم ممنون از توجهتون

[IrIsT]

(از همه عزیزانی که منت سر بنده می زارن و جواب می دن سپاسگذارم چون هیچ شخصی بالاجبار در این تاپیک نیست و همه محبت شما عزیزان هست )
از غیرتی و عصبانیت شما سپاسگذارم
گاهی وقت ها عصبانیت ها و غیرت ها می تونن مشکلات عدیده ای رو حل کنن خشونت جزوی از حل مشکلات شبکه هست
مشکلات گاهی مواقع عومی هست و حل اون می تونه به بسیاری کمک شایانی بکنه

بنده به جاهای خوبی رسیدم از ریل کردن ای پی ها در nginx مثلا چهار ای پی 1.1.1.1 و 2 و 3 و 4 حمله می کنن اما ای پی پنهان 4.4.4.4 هست
ریل کردن پکت ها می تونه ای پی های واقعی رو هم بلوک کنه
بنا به فایروالی که در قول و زنجیر کردم به لاگ اخر توجه کنید که نصف پکت ها الان دارن بلاک میشن
من توی فایروال :

منهای 3 کشور بقیه کشورها رو بلاک کردم
رنج ای پی های مشکل ساز رو مسدود کردم
پکت های ناخواسته رو بستم ( انواع کانفیگ بر روی پکت ها )
ای پی ها رو ریل کردم
انواع پورت های مشکل ساز برای پکت های بالا رو بستم ( مثل بیش از 3 پکت تا رنج 65535 )
dns رو به dns های cloudflare تغییر دادم
کش سرور رو به nginx و محدویت کش رو برای بار کمتر تغییر دادم
ووووو


دارم تست می کنم ببینم ای پی هدف رو می تونم شناسایی کنم یا نه
باید دید این شانس رو می تونیم داشته باشیم که به موفقیت برسیم یا نه هر چند طی مسیر خودش خوب /. پر حرفی نمی کنم

---

به نظر می رسه دیتابیس زیر حمله هست
سه دلیل دارم :
وقتی دیتابیس اف میشه لود سرور به حالت اول برمیگرده
دوم اینکه سایت های استاتیک بدون دیتابیس مشکلی ندارن
سوم اینکه دیداس بر روی دو سایت مشخص داره انجام میه ( لاگ tcpdump )
البته cpu و کانفیگ mysql به کرات بررسی شدن . / (دیتا سنتر هم به دلیل overflow شدن بافر به دلیل پکت های بسیار زیاد با بنده احساس همدردی کردن ! )
اگر لاگ دستوری مد نظرتون بود بگید براتون بزارم

نمونه لاگ خدمت شما :
در نمونه لاگی که می زارم خدمتتون همین امروز باهاش مواجه شدم : دو تا چیز جدید دارم میبینم
اول اینکه تعداد پکت ها رو نمی نویسه
دوم اینکه جلوی بعضی آی پی ها خالی هست ! یعنی هیچ آی پی نشون داده نمیشه یعنی لاگ آی پی رو نمی ندازه به مورد ما قبل پایانی در لاگ اول توجه کنید

کد:

      1 162.158.92.211
      1 92.122.122.156
      3 37.98.83.187
      5
     20 0.0.0.0

کد:

      1 CLOSE_WAIT
      1 established)
      1 Foreign
      6 ESTABLISHED
     21 LISTEN

کد:

100 packets captured
821 packets received by filter
704 packets dropped by kernel

همونظور که میبینید تعداد پکت ها کاهش قابل ملاحظه ای داشتن
از چند حالت خارج نیست
یا دی داسر از دیداس دست کشیده
یا اینکه کانفیگ ها دارن ***** اعمال می کنن و تعداد درخواست ها از حدود 4000 رسیده به 10 درخواست

اگر به چیز دیگه ای رسیدم و یا رسیدید اینجا بزارید تا تاپیک بره جلو
بازم ممنون از توجهتون

با سلام.
هیچ مشکلی بین کسی نیست.فقط یک نظرات مختلفه که نظر دهی با عمل درسته.
داداش،یک راهش همینطو که گفتن بستن آیپی و رنج کشورهاست که با فایروال انجام میدی.منم مشکل تورو داشتم دقیقا توی این 3 روز گذشته
بیشتر آمریکا،روسیه،هنگ کنگ،کانادا،ژاپن و یکی دوتا دیگه بود.جاهایی که سرورهای پرسرعتی دارن.مثل آمازون.
کرکر ها هم که میدونید مثل قارچ دارن تند تند رشد میکنن
نمیشه بعضی وقتها کشور خاصی رو بست.
حالا یک راه دیگش استفاده از کلودفلیر هستش که جلوشو میگیره.که توی فروم های مختلف مربوط به سرورها و پنل های مختلف میگفتن
یک راه حل دیگه،که دوستمون اشاره کرد،بستن user agent هستش.که هم میشه با htaccess با mod rewrite بست هم آپاچس و همم کدی که توی انجنیکس دادم
همم با iptable که میشه محدودیت گذاشت و هم mod security
یک سوال دیگه دوستان هم این بود که توی حملات میشه آیپی طرف اصلی رو پیدا کرد
باید بگم اگه تعداد زیاد باشه،یا حتی کم باشه،اگه از آیپی های فیک و ****** و زامبی استفاده کنه نه
چون با چند خط میشه یک برنامه ای نوشت که بیاد مثلا 100 تا سروری که داره،دستور اجرای دیداس رو بدن.
فقط تنها راه اینه که از آماتور بازی طرف و چک گردن با آیپی خودش بفهمی کیه که بازم شک و حدس و گمان هستش.
اما سک دقت به لاگ ها بکنید،میبینید آیپی ها متفاوته.درسته؟اما میبینید یک آیپی ثابت آخرش هست.
من چک کردم،دیدم از اونجا شروع به حمله میشد.یعنی کسی که اجرا میکرد مشخص شد.اما آمارتوربازی کرده بود آیپی اصلیشو گذاشته بود.
شما با کلودفلیر جلوشو گرفتی و درخواست هایی که بی هدف هستند و با user agent هایی هستش که تو لیست بن هستند،جلوشو گرفتین
توی این لاگتون هم همینو نشون میده.اما بازم اتکی داشتین از پکت های null

یک سوال،الان حمله رو دیتابیسه؟مطمئنین؟
این نوع حمله که انجلم میدادن،افزایش شدید بازدید کننده فیک هستش که قطعا روی دیتابیس هم تاثیر داره دیگه.
و اینکه شما میگید سایت های رو سرور که بدون دیتابیس هستند مشکل ندارن،آره.اما برای اینکه این مشکل به دیتابیس کمتر شه،توی کانفیگ mysql تعداد max user و
تعداد کانکشن رو محدود کنید.
اینطوری همون یوزر به مشکل میخوره و خیلی احتمال داون شدن دیتابیس پایین میاد.
یک راه دیگم هست که اونم استفاده از کلودلینوکس هستش.
دیگهوفعالیت کلودلینوکس رو میدونید.یعنی محدود سازی بر اساس یک سری منابع.
ببخشید زیاد شد.اگه مشکل املایی داره ببخشید.بیشتر با گوشی هستم.
بدرود

[lastwall]

سلام
عمدتا حملات به سرور زیاد مهم نیست که از چه ایپی انجام میشه :D
باید دنبال این باشید که چگونه با این حملات مقابله کنید
چون اگه حمله باشه به عنوان مثال شما یه رینج ای پی رو هم بلاک کنید حملات به صورت anonymous از رینج های مختلف کشورهای مختلف باز ادامه خواهد داشت .