moshkow: Сижу под дос-атакой, в темнице сырой...

Maksim E.Moshkow (

moshkow) wrote,
@ 2007-07-15 13:07:00

Current music:

Мама, мама, что мы будем делать

Сижу под дос-атакой, в темнице сырой...
И как в 3 ночи началось, так до сих пор и долбают.
И конца-краю этому не видать.

В логе apache только вот такое:

213.131.77.226 - - [15/Jul/2007:12:36:59 +0400] "GET /?NUvWP=51102&NUvWP=21669&DaIfuEYEy=12711&AED=44121&jRCBCev=39660&lcAUrJcU=16638 HTTP/1.0" 302 253 "-" ""
81.18.212.111 - - [15/Jul/2007:12:37:01 +0400] "GET /REMOVE_THIS_SHIT=http://music.lib.ru/s/sality/alb3.shtml?gff HTTP/1.1" 403 333 "-" ""
123.22.5.168 - - [15/Jul/2007:12:37:01 +0400] "GET /REMOVE_THIS_SHIT=http://music.lib.ru/s/sality/alb1.shtml#ntl_-_estx_cherez_cho?4f27i HTTP/1.1" 403 333 "-" ""
222.253.179.12 - - [15/Jul/2007:12:37:01 +0400] "GET /REMOVE_THIS_SHIT=http://music.lib.ru/s/sality/alb1.shtml#ntl_-_horoshij_denx_minus?uvxlj HTTP/1.1" 403 333 "-" ""
85.31.74.110 - - [15/Jul/2007:12:37:01 +0400] "GET /?COK=63447&COK=51871&AiGEmVa=758&KkYLWA=12865 HTTP/1.0" 302 253 "-" ""
218.168.103.44 - - [15/Jul/2007:12:37:02 +0400] "GET /REMOVE_THIS_SHIT=http://music.lib.ru/comment/s/sality/alb1?yrtc HTTP/1.1" 403 335 "-" ""
222.253.192.62 - - [15/Jul/2007:12:37:03 +0400] "GET /?oKk=58303&oKk=60974&BJMcOXrLT=8571&GqvDXH=12040&PYNKfC=48207 HTTP/1.1" 302 265 "-" ""
84.156.223.217 - - [15/Jul/2007:12:37:07 +0400] "GET /REMOVE_THIS_SHIT=http://music.lib.ru/s/sality/alb3.shtml?2v6vg HTTP/1.1" 403 333 "-" ""
196.205.185.17 - - [15/Jul/2007:12:37:08 +0400] "GET /REMOVE_THIS_SHIT=http://music.lib.ru/s/sality/stat.shtml?fq HTTP/1.1" 403 333 "-" ""
200.160.20.206 - - [15/Jul/2007:12:37:09 +0400] "GET /REMOVE_THIS_SHIT=http://music.lib.ru/s/sality/alb1.shtml#ntl_-_wremja_minus?23mp HTTP/1.1" 403 333 "-" ""
196.202.105.181 - - [15/Jul/2007:12:37:09 +0400] "GET /?MskaBgB=48045&MskaBgB=46715 HTTP/1.1" 302 265 "-" ""

А dmesg выдает

printk: 228326 messages suppressed.
TCP: drop open request from 221.135.92.155/41592
printk: 183146 messages suppressed.
TCP: drop open request from 210.4.10.97/23408
printk: 180638 messages suppressed.
TCP: drop open request from 122.52.77.241/33663
printk: 186624 messages suppressed.
TCP: drop open request from 196.219.106.102/3642
printk: 205898 messages suppressed.
TCP: drop open request from 196.218.84.209/10733

"Доктор, скажите, я буду жить?.."

Page 1 of 2
<<	[1] [2]	>>

(81 comments) - (Post a new comment)

	akeepaki 2007-07-15 09:57 am UTC (link)
	сволочи, подняли руку на святое... (Reply to this) (Thread)

	reynaldobenord 2008-08-11 09:45 am UTC (link)
	В этом романе Юденич осмелилась поднять руку на святое – на светлый образ самого Михаила Борисовича Ходорковского. (Reply to this) (Parent)

seidhepriest
2007-07-15 11:07 am UTC (link)

В брандмауэере/фильтре HTTP выставить предельную длину запроса;
В брандмауэере ограничить максимальное количество запросов от одного IP;
Включить защиту от flooding;
Включить автозапрет адресов IP при нарушении правил доступа.
Запретить HTTP 1.1?

(Reply to this) (Thread)

	seidhepriest 2007-07-15 11:10 am UTC (link)
	В фильтре HTTP позволять только GET, HEAD, OPTIONS (или вообще только GET с существующим путем). (Reply to this) (Parent)

	seidhepriest 2007-07-15 11:13 am UTC (link)
	Если ничего не стоит, попробуйте IPCop - http://ipcop.org/ (Reply to this) (Thread)

	seidhepriest 2007-07-15 11:19 am UTC (link)
	IPCop требовалась отдельная установка, но если есть ноутбук или старая машина с USB-диском или свободным местом для раздела, в качестве временной меры пойдет. (Reply to this) (Parent)(Thread)

	moshkow 2007-07-15 11:36 am UTC (link)
	Что-то мне говорит, что TCP: drop open request from 196.219.106.102/3642 printk: 205898 messages suppressed. фильтрацией на GET/PUT не выкрутиться. А ИП-ишники в black-лист я отправляю, 12000 адресов накопил, и все разные, не повторяются (Reply to this) (Thread)

	Это Фикс! Это Фикс! Проделки Фикса! cucumber405 2007-07-15 01:07 pm UTC (link)
	А ежели по сурьезному - ищите, кому выгодно. (Reply to this)

	phoneme 2007-07-15 01:33 pm UTC (link)
	И у нас та же фигня :(( (Reply to this) (Thread)

	moshkow 2007-07-15 01:53 pm UTC (link)
	Дык, вроде твои звуки откликаются, со свистом. (Reply to this) (Parent)(Thread)

	(Anonymous) 2007-07-15 02:39 pm UTC (link)
	Вот суки! Жарковский (Reply to this) (Thread)

	leroyarnuld 2008-08-11 08:34 am UTC (link)
	Вот суки. Или нас вообще теперь на борт не допустят. Конфисковано. (Reply to this) (Parent)

	kontiky 2007-07-15 02:53 pm UTC (link)
	Т.е. хотят, что бы вы что-то убрали? (Reply to this) (Thread)

	alleyhedouin 2008-08-11 01:20 pm UTC (link)
	Если ты начнешь что то делать хотя бы 5 минут без мотивации - “Вот сейчас поделаю это 5 минут и пойду заниматься своими делами”. (Reply to this) (Parent)

	moshkow 2007-07-15 03:05 pm UTC (link)
	Конкретно от этой атаки не спасет, но вообще штука довольно актуальная, буду разбираться, спасибо. (Reply to this) (Parent)(Thread)

	afranius 2007-07-15 08:13 pm UTC (link)
	Это Заговор, Заговор -- однозначно! Враги России! Березовский из Лондона, и вообще... Слушай, а правда: кому бы такое вдруг понадобилось, а? (Reply to this) (Thread)

	(Anonymous) 2007-07-15 10:54 pm UTC (link)
	Литресу понадобилось; трабатывают технологии! :))) Жарковский (Reply to this) (Parent)

	svetliy_grustb 2007-07-16 06:55 am UTC (link)
	Это же сюжет Крепкого Орешка 5!!! Откуда вы украли сценарий? (Reply to this) (Parent)(Thread)

	vaddi 2007-07-16 12:08 am UTC (link)
	у меня такое подозрение что в бан лист попала целиком наша сеть. (Reply to this)

	pan_szymanowski 2007-07-16 02:48 am UTC (link)
	Ну вот. Хотел послушать означенный SHIT а его уже удалили. Просто интересно, какой музон довел хакеров до оргазма. (Reply to this)

	(Anonymous) 2007-07-16 05:04 am UTC (link)
	nicho sebe sovpadeniya !!! segodnya pitalsya grand chessboard na lib.ru skachat' oblomilos' prishlos' brat' s dugogo site ento tak k slovu student (Reply to this) (Parent)

	schizophrenick 2007-07-16 07:31 am UTC (link)
	Можно проставить слежение за полем http_x_forwarded_for в заголовке. Если флудер пропалится, айпишник в нескольких запросах будет один и тот же. (Reply to this)

	born_phoenix 2007-07-16 11:03 am UTC (link)
	У буржуинов всякая-якая литература в IRC крутится. :) http://chva.livejournal.com/216909.html (Reply to this) (Parent)

	kuvaldo 2007-07-16 04:09 pm UTC (link)
	Может стоит банить не адресами, а сразу сегментами ? Откусить всю заграницу для начала.. (Reply to this) (Thread)

About

Help

Get Involved

Legal

LJ Labs

Store

	(Anonymous) 2007-10-02 10:25 pm UTC (link)
	+1 (Reply to this) (Parent)

	ustimenko 2007-07-18 02:34 am UTC (link)
	Вот кто досит. Распространенная практика: конторка уродов ложит сайт и как бы невзначай предлагает "лекарство". Вы поняли, кого надо досить? (Reply to this) (Parent)(Thread)

	ursuso_o 2007-07-17 08:57 am UTC (link)
	Мы чистим трафик, чистим.... Все же работает, чего расшумелись =). Устанут Досить. (Reply to this)

	des_sherlock 2007-07-17 10:52 am UTC (link)
	на мой взгляд это связано со скупкой и коммерциализацией бесплатных сетевых библиотек некими лицами если я неправ, поправьте меня, но насколько мне известно, lib.ru не продалась (Reply to this)

	lordik1975 2007-07-18 04:42 pm UTC (link)
	Fanlib.ru - тоже DDOSят уже вторую неделю. Интересные совпадения... http://forum.fanlib.ru/Topic.aspx?Id=a9392835-e29c-4150-a83d-ba7debea98b9 (Reply to this)

	ignik 2007-07-23 12:19 pm UTC (link)
	Во фре для этого есть /boot/kernel/accf_* А вот что есть в debian'е... (Reply to this)

	Сижу под дос-атакой, в темнице сырой... (Anonymous) 2008-01-03 10:35 pm UTC (link)
	Занимаемся защитой от дос атака,обращатца exhost.org icq Ё-маил от 100 убитых йожиков берём..пишите каво тероризируют отаками. (Reply to this)

Username:		Create an Account Forgot your login or password? Login w/ OpenID
Password:
	Remember Me
	English • Español • Deutsch • Русский…