Защита Дилетанта
Несколько суток подряд , сервер на котором расположен "Дилетантъ" подвергался ddos атаке. Подробно описывать , что такое ddos , не буду. Кому интересно , могут об этом прочитать в интернете. Информации предостаточно .
Собственно это уже не первая атака , однако самая интенсивная из всех , которые сервер пережил сравнительно благополучно. Выйти из этого , не совсем равного боя , удалось хоть и с небольшими потерями , но достойно. Подобным атакам , подвергаются как правило сайты , которые составляют кому-нибудь конкуренцию. Вероятно Дилетантъ , кому-то сильно помешал. Из атакующих , самыми активными были украинцы .Это связанно с тем , что на сайте , много статей касающихся тематики , этой печальной , умирающей страны. Однако я на них не в обиде , поскольку за несколько дней простоя сайта , был приобретен бесценный опыт. Программная "обвязка" сервера была подвергнута самому тщательному анализу и были произведены изменения , которые впоследствии не дадут повториться подобного рода неприятностям.
Кстати, Вы что-то с защитой перемудрили.
Вхожу на сайт. При вводе логина и пароля мне подсовывают КАПЧУ. Ну бог с ним. Ввожу. Пароль ввёл неправильно. Мне предлагают ввести заново БЕЗ КАПЧИ. То есть "для тех, кто не знает пароля, капча не обязательна"? А от чего она тогда защищает? От тех, кто знает пароль?
Ну ладно. Залогинился. После каждого поста мне подсовываю КАПЧУ. От чего она защищает? От пользователя, который УЖЕ ПРОВЕРЕН паролем и капчей, которую его уже один раз заставляли ввести?
Разделение прав и группы пользователей - не?
Подскажу. Делается группа "проверенные".
А капча на вводе паролей должна появляться ПРИ НЕПРАВИЛЬНОМ вводе пароля, а не наоборот.
Огромное спасибо за подсказку ! На самом деле я с смс друпал хреновато знаком. Сегодня же передам ваши рекомендации вебмасттеру . Еще раз - спасибо .
1. Вообще-то следует разделять "атаку на сайт" и "атаку на сервер, где хостится сайт". Если мой "хомяк" обслуживается тем же хостером, что и какая-нибудь биржевая контора и "хомяк" лёг, - то вряд ли атакующий знал хотя бы о моём существовании.
2. Кроме того. DDOS имеет смысл лишь когда атакуемый "обязан быть". Поясню. Можете атаковать мой домашний компьютер. Я его выключу или просто сяду играться в игрушку. Я могу переждать "пока не надоест". И атакующий будет неделю атаковать пустоту. Вот банк не может выключиться не только на неделю - на несколько минут. Ему DDOS опасна, а мне - нет.
3. Не стоит слишком обольщаться насчёт "злобных украинцев". Достаточно посмотреть статистику в уголке сайта. НЕ настолько сайт популярен, чтобы был смысл атаковать его. Жечь ресурсы, атакуя сайт с максимум 500 посетителями в день?
3. Почему Украина.
Сейчас практически все "русскоязычные" атаки по всему миру идут с Украины. Это незарегулированный русскоязычный интернет. Если я атакую кого-нибудь "серьёзного" с российских адресов - через 15 минут мой провайдер доложит в ФСБ цвет моих носков. Я немножко "в курсе" этих вещей.
Это связанно с тем , что на сайте... Увы, "это связано" с тем, что атаковать кого угодно сейчас удобней всего с украинских адресов независимо от тематики.
3. Кстати. 84.95.149.204 - это вроде бы Израильский IP? И... "This IP is being shared among many domains..." со всеми вытекающими.
Каждое ваше слово - золото бриллиантовое ! Вы правы по всем вышеприведенным пунктам. Я попробую лишь немного уточнить .
1. Я сам себе хостер . У меня более 180 собственных серверов .
Атака была предметно на сайт и вот по каким причинам. На этом сервере кроме нашего Дилетанта , есть еще сайт Крола (Юрия Балакирева) uartist.ru.
Все остальное базы данных (mysql) различных предприятий , и всяких адвокатских контор. Поскольку их адреса были скрыты а сайт Юрия врядли мог быть кому-то интересен в плане атаки , я предположил , что атака была на Дилетант.
Атака была несерьезной , и поэтому я воспользовался моментом , что бы заменить железо. Должен честно признаться, сделал это несколько неуклюже.
Кстати я сам располагаю десятком серверов с ip-spoofing . Благоволите взглянуть сюда http://162.247.154.113:8080/admin/ , так что представление что такое ddos имею.
Теперь по пункту три.
3. Сайт конечно не настолько популярен. Но его было достаточно "светануть" на нескольких бандерлоговских ресурсах , что бы тут же он был атакован со всяких спрутов и прочего несерьёзного дерьма . Да вот вам вывод Brute Force Monitor
Хохлы в плане нета , здорово активизировались. То что сохранили сайт - здорово. Обычно после таких простоев сайты сами по себе выпадают из поисковиков. Ну раз выжил - значит будет жить !
Я бы этих козлов убивал . Сидит чмошник , пользует примитивный скрипт для атаки и чувствует себя центром вселенной. Сволота. Но все же , хорошо что сохранил сервак.
Подошли если не трудно логи за несколько дней. Интересно глянуть. И кстати тип атаки какой был ?
Попробую угадать - ICMP-флуд ? Или брутфорс на ssh ?
Если будет нужна какая-то помощь - пишите.
А я думаю, что SYN . Сервер устойчиво лежал по нескольку часов.
Жаль пропала наша переписка со Зверобойником . Да и несколько интересных статей. Хотя по большому счету - потери сравнительно невелики .
Прима/
Жаль пропала наша переписка со Зверобойником.
Я свои ответы частенько сохраняю, ибо не раз сталкивался с тем, что пишешь иной раз, час другой ответ на комментарий, а он пропадает и не сохраняется.
Последний мой ответ вам, тоже сохранен, но думаю вы успели его прочитать.
Прочитал конечно и даже успел вам ответ написать. Впрочем - это уже все в прошлом .