خوب می خوام اصولی باشه
یه چی باشه خودکار تشخیص بده d:
---------- Post added at 08:46 PM ---------- Previous post was at 08:43 PM ----------
سرور رو خاموش کنید راحت !
اینم پاسخ یه شخص انگلیسی زبان به شما
first and foremost i want to say that this is not going to make your server 100% cracker proof, there is always a possibility that somebody will find a way in. I have listed a lot of things you can do to protect your server and that will help you secure it. While securing your server you have to find a median between what is secure and what restricts your clients or websites. you can easily make your server 100% secure from remote attacks by unplugging the ethernet cable, but chances are you will not get much good with it. this is not a complete guide and i will update it when i find time or it needs it. Overall it is a very good start and it is probably more then most servers have.
---------- Post added at 08:55 PM ---------- Previous post was at 08:46 PM ----------
first and foremost i want to say that this is not going to make your server 100% cracker proof, there is always a possibility that somebody will find a way in. I have listed a lot of things you can do to protect your server and that will help you secure it. While securing your server you have to find a median between what is secure and what restricts your clients or websites. You can easily make your server 100% secure from remote attacks by unplugging the ethernet cable, but chances are you will not get much good with it. This is not a complete guide and i will update it when i find time or it needs it. Overall it is a very good start and it is probably more then most servers have.
کمی گیج شدم
میشه خودتون خلاصه بگید یعنی چی؟
Woshka
January 3rd, 2010, 21:01
You can easily make your server 100% secure from remote attacks by unplugging the ethernet cable, but chances are you will not get much good with it.
یعنی
شما می توانید سرورتون رو در مقابل حملات از راه دور با قطع کابل ethernet به صورت 100% امن کنید.ولی شانس زیادی برای گرفتن بهترین نتیجه رو نخواهید داشت.
بقیش دیگه بهحرف شما مربوط نمیشد
همونی که درشت کردمو مربوط میشد رو ترچمه کردم
packsaft
January 3rd, 2010, 21:04
هر وقت وقت داشتی لیستهای ساکس رو جمع کن از نت و بلوکشون کن یا اگه بازدید کننده ها از داخل کشور هستن فقط آی پی ایران رو اکسس بده + آی پی های گوگل بوت و ...
وب سرور رو لیمیت کن (کانکشن هاش رو)
Woshka
January 3rd, 2010, 21:11
کانکشن ها رو 1000 تا لیمیته
آخه این سایته روزی 7000 تا ویزیتشه نمیشه کمتر از این کرد
---------- Post added at 09:11 PM ---------- Previous post was at 09:09 PM ----------
همه ip های حمله کننده ماله ایرانه
packsaft
January 3rd, 2010, 21:16
کانکشن ها رو 1000 تا لیمیته
آخه این سایته روزی 7000 تا ویزیتشه نمیشه کمتر از این کرد
---------- post added at 09:11 pm ---------- previous post was at 09:09 pm ----------
همه ip های حمله کننده ماله ایرانه
اسم سایت رو پ ن کن
1000 تا زیاده کمش کن
ایران باشه که راحتتره که
Woshka
January 3rd, 2010, 21:34
نتیجه بعد از بن کردن دستیه اینهمه ip
تمومی ندارن :((
---------- Post added at 09:19 PM ---------- Previous post was at 09:17 PM ----------
اسم سایت رو پ ن کن
1000 تا زیاده کمش کن
ایران باشه که راحتتره که
خیلی ساده ip ری***ت شده رو بزن :)
---------- Post added at 09:34 PM ---------- Previous post was at 09:19 PM ----------
اگه الان پست داده بودم یه هاست با این قیمت می خوام تا صفحه 5 ، 6 یا حتی بیشتر میکشید
یعنی شما فقط تو آفر و فروش کیفیت دارید؟
خارج از اون هیچی؟
برنامه ای که جلوی اینجور حملاتو بگیره سراع ندارید؟
mohebali
January 3rd, 2010, 21:38
برنامه ای که جلوی اینجور حملاتو بگیره سراع ندارید؟
نه !
بن نکنید چون واقعا نداریم دیگه !
پیشنهاد من ول کردن هاستینگ هست.(شوخی گفتم الان اعصابتون خورد هست کمی بخندید)
Woshka
January 3rd, 2010, 21:55
بن نکنید چون واقعا نداریم دیگه !
منطورت چیرو بن نکنم و چیو دیگه ندارید؟
من یه 20 تا ]ح شایدم بیشتر بلاک کردم وضعیت خوبه ولی باز هم هی در حال زیاد شدنن :((
---------- Post added at 09:54 PM ---------- Previous post was at 09:50 PM ----------
بازم مثل همیشه دست به دامن فروم های خارجی انگلیسی زبان شدم
Re: SYN attack, Unknown requests – Unknown IP Ranges – Not able to stop – Help us!
« Reply #10 on: August 07, 2009, 12:37:53 PM »
CSF helps in those cases
csf چجوری این کارو میکنه؟
---------- Post added at 09:55 PM ---------- Previous post was at 09:54 PM ----------
یه جا دیگه هم
this is syn attack if yo can install csf & lfd you can block this attack.
چجوری با csf میشه کاری کرد؟
packsaft
January 3rd, 2010, 22:20
یه نفر حرفه ای میگفت برا این نوع حمله راهی جز بلوک آی پی نیست
همه ip های حمله کننده ماله ایرانه
مطمئنید حملست ؟
چون امید 20 بازدیدش بالاستا !!!
رنک 33 هزار کم حرفی نیستا.
omid20.info - Site Info from Alexa (http://www.alexa.com/siteinfo/omid20.info)
وب هاستینگ تالک 15 هزار ـه ...
---------- Post added at 10:37 PM ---------- Previous post was at 10:35 PM ----------
من یه سایتی با رنک 25 هزار رو سرورم بود، کانکشنا رو 2000 گذاشته بودم بازم کمش بود. لود سرور سر به فلک میکشید. بردمش رو یه سرور دیگه اوضاع به روال سابق برگشت :d
packsaft
January 3rd, 2010, 22:51
محمد جان فعلا باید کمش کنه برا الان زیاده بعدا برش میگردونه حالت قبلیش
1eng.ir
January 3rd, 2010, 23:00
محمد جان فعلا باید کمش کنه برا الان زیاده بعدا برش میگردونه حالت قبلیش
اینا که پشت سر هم تکرار میشه احتمال زیاد دارن دانلود میکنن.
به هیچ وجه دی داس نیست ...
اگه کسی بخواد دی داس کنه با ایران نمیزنه که !!!
Woshka
January 3rd, 2010, 23:11
آخه یه مثئله ای هست
این ip ها از 3 روز پیش تا الان همینان که SYN_RECV بسیار بالایی دارند
یعنی 3 روزه دارند دانلودمی کنن؟؟
لود این سرور هم با وجود اینهمه بازدید همیشه در بدترین شرایط 1 بود
الان هم لودرو 0.7 یهو آپاچی کم میاره و هنگ میکنه
دادم سی پنل هم بررسی کرد
گفت کاملا مشخصه که حمله از اون ip هاست
البته حمله قابل قبوله
این پست ها از 2 روز پیشش خیلی دیگه نفوذیه p-:
این ها هم ip هایی که بیشتر از 4 تا SYN_RECV داشتن که 2 ساعت طول کسید تا بن کنم :(
آخه لیست آی پی هات خیلی خیلی زیاده.
اگه دی داس باشه از یه جا - 2 جا - 10 جا میزنن نه از شونصد جا :d
البته یه احتمال هم وجود داره: برادران ارزشی (عرزشی/عرضشی/ارضشی) آی فریم مخفی گذاشته باشن تو سایتهای مفیدشون و باعث شده آی پی فیک زیاد بیاد. همون کاری که چند ماه پیش (قبل انتخابات) با سایتهای مخالفشون انجام دادن)
Woshka
January 4th, 2010, 00:37
In looking at the number of connections on the server, and the number of IP addresses that are sending SYN to Apache without making a complete connection, I have to agree with Danielle's assessment of the situation, and I would suggest blocking these IP addresses to see if that resolves the issue you're experiencing.
---------- Post added at 12:37 AM ---------- Previous post was at 12:08 AM ----------
سوال و جواب من در همین خصوص
first please accept my excuse but i wanted to know wether my apache maybe not optimized as far as i am sure thatt i have config it properly
it has resolved it by banning the sync ips that had more than 3 sample of those ips
but i am afraid these ips are real clients or not
one of my friends told me that one of them that i checked seems to be client ip addres
i have blocked the following
greetings,
it's quite alright, i just wanted to let you know that it's most efficient for us to be able to get the entire picture, especially if an issue has been discussed previously with other analysts.
It should be noted that syn_recv itself will occur with any connection to apache -- it's the syns that don't complete in a timely fashion that appear suspicious.
Here's a bash command you may find useful. It will list all ip addresses that are connecting to the server, but haven't completed a syn in 5 seconds:
the ip addresses may not be doing anything malicious, but it's worth investigating if you continue to see any issues. I don't see the current maxclients setting as being involved in any issues, but then again, i haven't seen this issue occur in real-time. It might be helpful if you re-open this ticket the next time that apache is completely down, and let us investigate the issue as it's happening.
unkn0wn
January 4th, 2010, 00:55
این حمله syn flood هست که خیلی ناجور هم هست.در حقیقت یه handshaking ناقص انجام میده.بن کردن ip فایده نداره.با توجه به اینکه میگین ip ها ایرانی هم هستن در حقیقت دارین سایت رو از دسترس ایرانی ها خارج میکنین.حمله هم با ip های fake داره انجام میشه (اینجور به نظر میاد)چون از 1000 تا ip که یدفعه dos صورت نمیگیره.مگه در حالنی که با pr0-x-y صورت بگیره که این همه p-r0;x-y با ip ایران کجا پیدا میشه ؟؟!!
smartieuser
January 4th, 2010, 08:41
کجا پیدا میشه ؟؟!!
پیدا میشه !! دلیلش هم عدم داشتن اطلاعات کافی مدیران شبکه ادارات و بعضی موسساته !
اینم گراف 5 دقیقه روتر میکروتیک با 18 مگ پهنای باند ! البته الان استفاده بالایی نداره :"> دسترسی به پنلش هم موجود می باشد. ! :D
پروکسی هم به خدمت شون اضافه شده ! :d
Woshka
January 4th, 2010, 11:23
من از هرکی پرسیدم گفتش باید دیتاسنتر برات یه کارای انجام بده
درسته ؟
در ضمن من که تو تاپیکم نو حمله رو syn_recv flood attack زدم
تشخیص بیماری خودش یه مهارته
:)
حالا راحی برای مقابلش نمیشناسید؟
ممنون
Roka
January 4th, 2010, 11:25
جلوی این ها رو چجوری بگیرم
csf نصبه ولی هیچ غلطی نمیکنه:((
:-ss
MaxSpareServers رو کردم 500
شاید واقعا حمله نباشه !!!
packsaft
January 4th, 2010, 14:20
شاید گفته ممد هم درست باشه ها آی فریم بزارن
با فایل htaccess پهنای باند رو لیمیت کن به سایت خودت آی فریم از کار بیوفته ببین نتیجه چی میشه
1eng.ir
January 4th, 2010, 14:47
بابا اينا حمله نيست. سايت پر بازديده ...
آي پي هاي وب هاستينگ تالك هم ببيني همچين وضعي داره.
Woshka
January 4th, 2010, 16:47
آره حق با شما بود
مشکل در تنظیمات apache بود
تنظیم کردم درست شد
هیونی ها:((
دیروز بهشون امید نرسید همهشون خمار شدن :((
arak-soft
January 22nd, 2010, 21:10
با سلام
شما میتونید از دستور های زیر استفاده کنید
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
برای بستن آی پی رنج : ip Rang
iptables -I INPUT -s 221.0.0.0/255.0.0.0 -j DROP
iptables -I INPUT -s 221.0.0.0/8 -j DROP
توجه : حتما بعد از زدین این دستورات این دستور رو وارد کنید