با عرض خسته نباشید خدمت همه دوستان !
خب همونجور که میدونید دی داس یکی از بزرگترین مشکلات همه هاستینگ ها مخصوصاً ایرانی ها هست !
الان چند روزی هست که یه نفر که معلوم نیست چه مشکلی با من داره ، نه میشناسمش و نه اصلاً تا به حال باهاش رابطه ای داشتم اومده به من گیر داده و میخواد مثلاً من رو نابود کنه:107:

البته اینم بگم روی خیلی از دامین ها میزد و من با تغییر اسم یا کلاً بعضی کار ها جلوگیری میکردم ولی امروز دیدم داره دامین خودم رو میزنه ! و اینو که دیگه نمیتونم ببندم :d

و نحوه دی داس هم عملاً دیداس نیست ، بوت نت هست !!!

من تا بحال دنبال این چیزا نبودم اطلاعات آنچنانی ندارم در این زمینه که دقیقاً چجور میزنند ولی اکثراً وقتی میخوان دی داس بزنند با یک سرور پکت زیادی ارسال میکنند که اکثراً یک یا ده یا 100 تا آی پی از یک رنج هست !
ولی این آقائی که با ما مشکل داره از یه رنج و حتی یه رنج کشور هم نیست !

یه فیلم از لاگ دیداس زدنش به دامین خودم گرفتم ، شاید ببینید بهتر بتونید کمک کنید Syn_Sent !!

لینک دانلود : www.roka.ir/ddos.zip

ممنون میشم دوستان اگه راهی بلدند کمک کنند
لازم به ذکر است :
سرور از giga-international
مجازی سازی openvz
پنل : directadmin
دیواره آتش : apf+csf کنار هم نصبه ! و فعاله !
هر کی هم نطق بکشه بلوک میشه ولی موقعی که دی داس میزنه این یارو اینقدر قوی هست که سرور کلاً تو هنگ تشریف داره !!!
قبلاً دیواره آتش سخت افزاری هم داشتم ، جوابگو نبود !

از طرفی امروز با توجه به مشکلاتی که توی ایران بود نتونستم به سرور وصل بشم و سرعت اونقدر پائین بود که نتونستم حتی ریموت کنم با جائی !
به شرکت گیگا هم تلفنی زنگ زدم و ازشون کمک خواستم بعد از کلی ور رفتن با سرور گفتند که از ما کار خواصی بر نمیاد و اون وی پی اس رو خاموش کنید تا زمانی که اون طرف بی خیال بشه :71:

ممنون میشم دوستان اگه نظری دارند ، تجربه دارند یا پیشنهادی دارند ( حتی اگه یه چیزائی به گوشتون رسیده بگید من تست میکنم و اگه نتیجه بخش بود آموزشش رو توی همین سایت میزارم )

با سپاس

دیواره آتش : Apf+csf کنار هم نصبه ! و فعاله !
هر دو با هم؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
یکی رو پاک کنی خیلی بهتره
با سی اس اف میتونی کانشکن ها رو لیمیت کنی که یارو نتونه دی داس بزنه

هر دو با هم؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
یکی رو پاک کنی خیلی بهتره
با سی اس اف میتونی کانشکن ها رو لیمیت کنی که یارو نتونه دی داس بزنه

والا هر دوش کنار هم نصبن نتونستن کاری کنن، یکیشون کنم که دیگه هیچ :d
ولی apf رو غیر فعال میکنم


از طرفی ، اینقدر از آی پی های مختلف هست که نمیشه به راحتی بلوک کرد !!!

دوتاش با هم نمیتونن کار کنن
یکیشو کلا پاک کن

سلام، اگر آپاچی نصب هست روی سرورتون با من تماس بگیرید :

p4rnak@gmail.com

موفق باشید.

سلام، اگر آپاچی نصب هست روی سرورتون با من تماس بگیرید :

p4rnak@gmail.com

موفق باشید.
بله apache نصبه !
ولی قرار نشد کار به ایمیل بازی کشیده بشه ! توی همین تاپیک بگید که بقیه دوستان هم بتونند کمک بیشتر و استفاده ببرند !!

اگه مقدور هست توی همین تاپیک بگید ، لطفاً

ای بابا، باشه اشکالی نداره بفرمایید :



Login to web server via SSH.
For Apache 2.0.x, execute the following command:
up2date -i httpd-devel

Continue with the following commands one by one for all version of Apache HTTPD server. wget command will download the current stable version 1.10.1 source tarball.
cd /usr/local/src
wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz
tar -zxvf mod_evasive_1.10.1.tar.gz
cd mod_evasive

For Apache 2.0.x , execute the following command:
/usr/sbin/apxs -cia mod_evasive20.c

Else, for Apache 1.3.x,

/usr/local/apache/bin/apxs -cia mod_evasive.c

Above commands will compile mod_evasive to .so and subsequently add corrensponding AddModule and LoadModule lines into httpd.conf.

mod_evasive comes with default configuration value preset, however, if webmasters want to configure and set the value themselves, the following parameters have to be added into httpd.conf Apache configuration file below the AddModule section.
For Apache 2.0.x, add the following text to httpd.conf below AddModule section:

<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 600
</IfModule>

For apache 1.3.x, add the following text to httpd.conf below AddModule section:

<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 600
</IfModule>

Save and exit the httpd.conf Apache configuration file.

Restart the Apache server with the following command:
/etc/init.d/httpd restart

Note: If apxs is not found, it can be installed via “yum install httpd-devel” command.



جایی مشکل بود، اطلاع بدین. ولی آموزش خیلی گویا و قابل فهم هست.

امیدوارم بتونه کمکتون کنه. :63:

/etc/init.d/httpd restart

این همون :



service httpd restart

هست.

مهدی جان با این روش حل شد ؟

مهدی جان با این روش حل شد ؟

هنوز تست نکردم !
پروتوکل ssh که بستست
الان سرعت هم قد نمیده بتونم ریموت کنم و با سرور ور برم !

فردا تست میکنم

من سرعتم خوبه !

اگر کارت حیاتی بیا بگو واست انجام بدم .

تو یاهو هستم

من نمیدونم اقای p-co شما چقدر علم در مورد سرور و مدیریت سرور دارید.
ولی پسرم وقتی شما اینو نصب میکنی تعداد کانکشن های آپاچ رو محدود میکنی مثلا روی 4 تا دیگه بخوای خیلی لیمیت کنی !
ولی وقتی نزدیک 1000 تا ایپی 4 تا کانکشن بندازند روی سرورت میدونی چند تا کانکشن میشه؟
و هر کانکشن هم 100 تا سیشن باز کنه میدونی چی میشه؟
شما میخوای اینجوری جلوی دی داس رو بگیری؟
مهدی یا هر کس دیگه هیچ راهی نداری این مدل دی داس رو ببندی اونم فقط با باز گذاشتن ایپی های ایران و بستن ایپی های کشور های دیگه
اینم یادتون نره که حملات دی داس موقتی هست و طرف ببینه کار نمیده دیگه ول میکنه میره
تنظیمات csf رو طوری انجام بده فقط ایپی ایران رو قبول کنه و ازش بک آپ داشته باش که وقتی میری زیره دیداس سی اس اف رو ران کنی و وقتی اومدی از زیره دیداس بیرون دوباره برگردون به حالت معمولی
موفق و پیروز باشید

از این سایت میتونی لیست ای پی ها رو بگیری !
http://www.blockacountry.com/
با تشکر از همگی

ووو !
مرسی وحید

چنین چیزی زده بود به کلم ولی میگفتم لیست آی پی ها رو از کجا گیر بیارم آخه :d

محسن محمود نژاد هم یه دستور داد ، نشون میداد چه فایل هائی در حال استفاده هستند و دقیقاً مشخص میشد کدوم فایل زیر دی داس هست

دستور :
tcpdump -n -s 300 -A dst port 80 | grep -o "\(GET\|POST\|[Hh]ost\).*"

بعد اون فایل رو تغییر نام باید داد یا با دستور زیر بلوکش کرد

iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "filename.php" -j DROP


بازم اگه دوستان راه بلدند دریغ نکنند !

حتی اگه یه چیزی به زهنتون میرسه بگید !!!! بقیه اش با ما :d

مرگ شتری هست که در خونه هر کی میشینه ، دی داس هم بلائی هست که سر همه هاستینگا میاد :d

نصب فایروال سخت افزاری ....

نصب فایروال سخت افزاری ....

نظر خوبی هست ولی نه برای این قضیه !
ببین یه توضیحی بدم منظورمو دقیق بگیرید تا بتونید نظر نزدیکتر بدید

فرض کنید آمار یکی از سایت ها شما یهو بالا بزنه !
اینقدر که مثلاً 100 هزار نفر یا چندین برابر همزمان بخوان بیاد توی سایت !
چه بلائی سر سرور میاد ؟
میپوکه !
حالا فایروال سخت افزاری چه کاری میتونه انجام بده ؟
هیچی !!!
فقط باعث خاموش شدن سرور میشه ! و به قول یکی از دوستان که توی یکی از دیتاسنتر ها کار میکرد ، اگه دی داس شدید باشه ، بعضی مواقع باعث میشه سرور خاموش بشه و دیگه هم روشن نشه !!!

کلاً فایروال سخت افزاری جالب نیست ، باعث کند شدن سایت میشه !

واسه خود دی داس که از یک یا چند سرور ، با یک یا چند آی پی پکت زیاد میفرسته ، خیلی خوب جواب میده ولی اینجور مشکلات ، میشه یه دردسر دیگه !!!:d

آی پی ها رو لیست کن بده دیتا سنتر از روتر واست بن کنه !
از دیتا سنتر کمک بخواه .
دسترسی به سایتی که دیداس میشه رو فقط به آی پی های ایران بده .
- آی پی های آمریکا ، انگلستان ، هلند ، آلمان ، فرانسه رو ببندی کفایت میکنه !
- فایر وال سخت افزاری کاملا جوابگو خواهد بود ! البته هزینه زیادی داره . ( فایر وال request های مخرب رو دفع میکنه )
- سایتی که دیداس میشه رو موقتا از دسترس خارج کن ! ( ارزشش رو داره )
* مایکروسافت همین کارو کرد .

چیز بیشتری یادم اومد میگم بهت .

بابا وحید گیر ندی به ما
( p-co عزیز هم دارای دانش فنی بالایی هست ! )

بهترین روش اینه که خود دیتا سنتر و نت ورک جلوگیری کنند که فکر کنم گیگا خیلی در این زمینه ضعیف باشه!

بهترین روش اینه که خود دیتا سنتر و نت ورک جلوگیری کنند که فکر کنم گیگا خیلی در این زمینه ضعیف باشه!
:^O
خیر!!!!!!!!!!!:-|
2 روز پیش به سرور یکی از دوستانم که در گیکاست اتتک دادند
سریع به گیگا گفتم ایپی دادم از نتورک بلاک کردن!
خیلی سریع
خودمم به دیتاسنتر اتککر ریپورت دادم سرور هاشو از بیخو بن نابود کردن:))
ولی درباره بوتنتم خیلی افتضاهه!وحشتناک!
اگه به 80 میزنن stop کن بد سریع همه ایپی هارو بلاک کن
بعد که کانکتشن ها کم شد اپاچی بیار بالا
ایپی ها زیاد شد stop کن
باز ایپی های جدیدو بن کن
به همین صورت برو جلو مشکلت حل میشه:63:


netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

برای جلوگیری ازش باید هزینه ی بالایی کرد که هر کسی نتونه سرور شما رو بخوابونه
اما در زمانی که حجم حمله بالا باشه بهترین کار انتقال سرور به یک دیتاسنتر خوب و امن و فایروال سخت افزاری مدیریت سریع سرور و جلوگیری از روش های معمول...

درست میفرمایید ولی یادتونه میکروسوفت با بات نت چی شد؟:دی
اخر fbi دست بکار شد و کانال irc رو بستن
شما فکر کنید دیگه بات نت رو فایروالم بزور شاید بتونه بگیره!
فکر کنید 1000 تا سرور یا pc به سرور اتون sock وصل کنند
سرور نابود میشه!
چه اختصاصی چه هاستینگ!
یکم گووووگل بگردید اخبار حملات رو میبینید که چه فاجعه بزرگیه!
----------------------------------
راستی شاید litespeed کمکتون کنه
امتحان کنیدش...

سلام ,

ببین مهدی جان

اولا شما csf+lfd به همراه syn-deflate نصب کن یا apf+bfd به همراه ddos-deflate نصب کن برای مدیریت کانکشن ها که اگر حملات از نوع کانکشن بالا بود با این بشه جلوشو گرفت !

به دستوراتی که بهت داده بودم . وقتی دیدی زیر حمله هستی چک کن ببین چه فایلی هست و با iptables بلاک کنش !

هم برای جلوگیری از برخی حملات و هم به منظور داشتن امنیت بهتر حتما از یک سری IDS های به درد بخور مثل SCADA روی سرورت استفاده کن !

مواقعی که زیر حمله شدید هستی این مورد هم به دردت می خوره ! httpd timeout را پایین بیار . که وقتی لودت میره بالا و زیر اتک هستی .... سرت لود صحات کم میشه و 1.1 میده و لود نمیشه ! البته لودتو پایین نمیاره ! اما باعث میشه از حدی بالاتر نره تا ببینی درد از چه سایتی هست و جمعش کنی !

httpd keepalive غیر فعال کن و یا timedout تا حد زیادی بیار پایین ! روی 10 - 20

همینطور این محدودیت ها هم روی سرورت اعمال کن : ( البته دقت کن نسبت به یوزر هات و رم و لاین سرور اینارو تغییر بده )


net.core.rmem_max = 184217728
net.ipv4.tcp_rmem = 4096 33554432 184217728
net.core.wmem_max = 184217728
net.ipv4.tcp_wmem = 4096 33554432 184217728
net.ipv4.tcp_mem = 8388608 16777216 184217728
net.core.optmem_max = 107108864
net.core.rmem_default = 10097152
net.core.rmem_default = 10097152
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_re cv = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_w ait = 60
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wa it = 30
kernel.panic=5
net.netfilter.nf_conntrack_max = 5048576
net.nf_conntrack_max = 5048576
net.ipv4.netfilter.ip_conntrack_max = 5048576

این مدت درگیر کاری هستم و نمی تونم زیاد وقتم روی اینترنت بزارم .

خلوت شدم توضیحات کاملتر قرار میدم

موفق باشید

ممنون از همه دوستان
من مشکل اصلی رو پیدا کردم !
اصولاً وقتی دی داس میزنند از یک یا چند سرور حمله میکنند که حد اکثر چند آی پی هست و حتی میشه دستی بلاک کرد !
بعضی مواقع بوتنت میزنند که با تنظیمات دیواره آتش تقریاً میشه جلوگیری کرد
این بلائی که سر من میاوردند یه باگ بود توی Apache که رفعش کردم ( Priv8 Exploit بود )

ممنون از همه دوستان
من مشکل اصلی رو پیدا کردم !
اصولاً وقتی دی داس میزنند از یک یا چند سرور حمله میکنند که حد اکثر چند آی پی هست و حتی میشه دستی بلاک کرد !
بعضی مواقع بوتنت میزنند که با تنظیمات دیواره آتش تقریاً میشه جلوگیری کرد
این بلائی که سر من میاوردند یه باگ بود توی apache که رفعش کردم ( priv8 exploit بود )



بیشتر توضیح میدین که چطوری و با چه تنظیماتی باید جلوش رو گرفت ؟

بیشتر توضیح میدین که چطوری و با چه تنظیماتی باید جلوش رو گرفت ؟
این مورد میشه گفت قدیمی شده
الان کافیه Apache رو به روز کنید یا قسمت باگ ها رو بخونید ( تو سایتش )

اگر از یک سرور در خارج این حملات انجام میشه به Abuse Report سرور اش یه ایمیل بزن .. وقتی سرویس اشو چند روز ( یا برای همیشه ) بستن دیگه این کار رو نمیکنه ..

برای من پیش آمده .. ولی من سرور ویندوز داشتم و BlackICE Server کاملا حملات رو بلاک میکرد ولی من با این حال ایمیل زدم به Abuse Report شرکت iWeb و سروراش را بستن .. ( سرور اش از iWeb بود ).

نصب
کردم اولCSF

بعد لایت اسپید اما
توی پنل نمیاد برای سوییچ
چی بکنم

Would you like to start it right now [Y/n]? y

[OK] lshttpd: pid=12141.

LiteSpeed Web Server started successfully! Have fun!

کمک کنید

نصب
کردم اولCSF

بعد لایت اسپید اما
توی پنل نمیاد برای سوییچ
چی بکنم

Would you like to start it right now [Y/n]? y

[OK] lshttpd: pid=12141.

LiteSpeed Web Server started successfully! Have fun!

کمک کنید


سلام شما بايد پلاگين را هم انستال كنيد.كه فكر كنم در بخش نصب litespeed موجود بود.

[
cd /usr/src
wget http://www.litespeedtech.com/packages/cpanel/lsws_whm_plugin_install.sh
chmod 700 lsws_whm_plugin_install.sh
./lsws_whm_plugin_install.sh
rm -f lsws_whm_plugin_install.sh]

بنظرم اینطوری میشد

<Files 403.shtml>
order allow,deny
deny from all
</Files>

allow from "range ip iran "

mod_evasive هیچ کاری نمی تونه بکنه
باگ زیاد داره
5 سالی هم مبشه آپدیت نشده و برای ورژن 1.3 هم بوده

---------- Post added at 07:29 PM ---------- Previous post was at 07:24 PM ----------


من نمیدونم اقای p-co شما چقدر علم در مورد سرور و مدیریت سرور دارید.
ولی پسرم وقتی شما اینو نصب میکنی تعداد کانکشن های آپاچ رو محدود میکنی مثلا روی 4 تا دیگه بخوای خیلی لیمیت کنی !
ولی وقتی نزدیک 1000 تا ایپی 4 تا کانکشن بندازند روی سرورت میدونی چند تا کانکشن میشه؟
و هر کانکشن هم 100 تا سیشن باز کنه میدونی چی میشه؟
شما میخوای اینجوری جلوی دی داس رو بگیری؟
مهدی یا هر کس دیگه هیچ راهی نداری این مدل دی داس رو ببندی اونم فقط با باز گذاشتن ایپی های ایران و بستن ایپی های کشور های دیگه
اینم یادتون نره که حملات دی داس موقتی هست و طرف ببینه کار نمیده دیگه ول میکنه میره
تنظیمات csf رو طوری انجام بده فقط ایپی ایران رو قبول کنه و ازش بک آپ داشته باش که وقتی میری زیره دیداس سی اس اف رو ران کنی و وقتی اومدی از زیره دیداس بیرون دوباره برگردون به حالت معمولی
موفق و پیروز باشید

کار جالبی نیست
یعنی باید همیشه پشت سرور باشیم؟
فایروال سخت افزاری نیست این کار رو بکنه؟

اين اشكال بيشتر در مرورگر هاي وب است كه كانكشن زياد به سرور ميزنه
.مثلا avant كه باهاش cpanel باز كنيد يكي رفرش firewall طرف را بن ميكنه.

نحوه نصب اسکریپت DDos Deflate
iNetworkWeb.com - (http://www.inetworkweb.com/portal/knowledgebase/42/---DDos-Deflate.html)