[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Помогите досят...
Форум PHP программистов > Безопасность данных и приложений
Анатолий1980
13.03.2012 - 05:59
Привет, мой простенький сайт с софтом начали со вчерашнего дня досить, у меня VPS но слабенький, досят через сокеты, 5 ip адресов отправляет по 30 пакетов в секунду, я не знаю как от этого защититься, сайт жутко тормозит... хочу настроить сервер как то так http://www.open-life.org/blog/apache/531.html
помогите пожалуйста, кто советом, кто ссылкой с информацией



Спустя 40 минут, 15 секунд (13.03.2012 - 05:39) VELIK505 написал(а):
mod_limit biggrin.gif забудь.
Это лоиком балуются. ngx_http_limit_req_module
http://habrahabr.ru/blogs/infosecurity/67685/
вот самая лучшая защита на софтовом уровне.

Спустя 3 часа, 35 минут, 34 секунды (13.03.2012 - 09:15) ADiel написал(а):
Поздравляю. Я бы радовался, значит есть куда развиваться =)

Спустя 37 минут, 4 секунды (13.03.2012 - 09:52) Анатолий1980 написал(а):
Цитата (VELIK505 @ 13.03.2012 - 02:39)
mod_limit :D забудь.
Это лоиком балуются. ngx_http_limit_req_module
http://habrahabr.ru/blogs/infosecurity/67685/
вот самая лучшая защита на софтовом уровне.

Спасибо, а как проверить собран ли ngx_http_limit_req_module?

Мне нужно внести вот этот код в conf.d, и правильно ли он написан? я в конфигурации сервера мало что понимаю, почему собственно такой вопрос и возник


http {
    limit_req_zone $binary_remote_addr zone=one:10m  rate=2r/s;
    server {

 location / {
    limit_req  zone=one burst=4;
}
}
}

Спустя 3 часа, 16 минут, 45 секунд (13.03.2012 - 13:08) Nikitian написал(а):
После изменений в конфиге nginx выполняйте команду nginx -t - если ошибок нет, значит можно делать что-то типа /etc/init.d/nginx reload и ничгео с ошибками о недостающих модулях не упадёт.

Спустя 3 часа, 12 минут, 50 секунд (13.03.2012 - 16:21) Анатолий1980 написал(а):
Цитата (Nikitian @ 13.03.2012 - 10:08)
После изменений в конфиге nginx выполняйте команду nginx -t - если ошибок нет, значит можно делать что-то типа /etc/init.d/nginx reload и ничгео с ошибками о недостающих модулях не упадёт.

Я ошибся у меня просто Apache без nginx...( ведь эта конфигурация для простого апаче не подойдет?

Спустя 4 часа, 8 минут, 34 секунды (13.03.2012 - 20:30) VELIK505 написал(а):
Цитата (Анатолий1980 @ 13.03.2012 - 13:21)
Я ошибся у меня просто Apache без nginx...( ведь эта конфигурация для простого апаче не подойдет?

Нет. Тебе может и вполне и хватит связки apache+nginx
так как если 1 апач смотрит на ружу то сервак очень и очень легко повалить (я уж и молчу про его дыры) nginx очень защищает апаче многие его дыры кроет. Nginx вообще стена как для него без Nginx жить нельзя Nginx это лучший веб-сервер который только может быть, вообще не понимаю как без него можно

Спустя 1 час, 50 минут, 17 секунд (13.03.2012 - 22:20) Анатолий1980 написал(а):
Цитата (VELIK505 @ 13.03.2012 - 17:30)
Цитата (Анатолий1980 @ 13.03.2012 - 13:21)
Я ошибся у меня просто Apache без nginx...( ведь эта конфигурация для простого апаче не подойдет?

Нет. Тебе может и вполне и хватит связки apache+nginx
так как если 1 апач смотрит на ружу то сервак очень и очень легко повалить (я уж и молчу про его дыры) nginx очень защищает апаче многие его дыры кроет. Nginx вообще стена как для него без Nginx жить нельзя Nginx это лучший веб-сервер который только может быть, вообще не понимаю как без него можно

Я писал свой сайт на денвере, и в конфигурации сервера мало что понимаю, когда предоставил хостинг выбор между nginx и apache я выбрал апаче так как об апаче слышал... мои скрипты на 100% защищены от sql инъекций и xss атак, вы хотите сказать что возможен даже взлом сайта? я понимаю что даже сервисы типа webmoney взламывают (точнее обменные пункты и тому подобное, видео есть на ютубе если кто не видел) бывают дырки в таких системах, сейчас дырки пофиксили, возможны дырки в apache, через которые можно сайт взломать?
Подскажите пожалуйста как защититься от дос если у меня Apache?
или как их связать?

Спустя 1 час, 36 минут, 40 секунд (13.03.2012 - 23:57) inpost написал(а):
вирус на твоём компе украл пароли от фтп smile.gif

Спустя 12 часов, 2 минуты, 28 секунд (14.03.2012 - 11:59) Анатолий1980 написал(а):
Цитата (inpost @ 13.03.2012 - 20:57)
вирус на твоём компе украл пароли от фтп smile.gif

а вы все еще так не смешно шутите?

Спустя 2 часа, 21 минута, 18 секунд (14.03.2012 - 14:21) VELIK505 написал(а):
Цитата (Анатолий1980 @ 13.03.2012 - 19:20)
Подскажите пожалуйста как защититься от дос если у меня Apache?
или как их связать?

http://adw0rd.ru/2009/nginx-and-apache-install/

Спустя 2 месяца, 16 дней, 15 часов, 52 минуты, 35 секунд (31.05.2012 - 06:13) Georgiy_Dovidov написал(а):
Цитата (VELIK505 @ 14.03.2012 - 11:21)
Цитата (Анатолий1980 @ 13.03.2012 - 19:20)
Подскажите пожалуйста как защититься от дос если у меня Apache?
или как их связать?

http://adw0rd.ru/2009/nginx-and-apache-install/

Хорошая статья, у меня 5 вопросов по ней если не затруднит ответьте пожалуйста, где можно скачать mod_rpaf и mod_rpaf2? как их установить.
У меня в файле /etc/apache2/httpd.conf строки "Listen 80" нету.... а вот в /etc/apache2/listen.conf есть - мне ее нужно заменить? на 88?
Так же я не нашел файл httpd-vhosts.conf - в /etc/apache2/vhosts.d/vhost.template нашел похожее название и в нем есть 80 порт "<VirtualHost *:80>" это тот самый файл который нужен?
И последний вопрос правильно ли я прописал nginx.conf?


user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log;
#error_log  /var/log/nginx/error.log  notice;
#error_log  /var/log/nginx/error.log  info;

pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    limit_req_zone $binary_remote_addr zone=one:10m  rate=40r/m;
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
             '$status $body_bytes_sent "$http_referer" '
             '"$http_user_agent" "$http_x_forwarded_for"';

access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    tcp_nopush     on;
    tcp_nodelay    on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;
    upstream backend {
         # Директива задаёт имя и параметры сервера. Обратите внимание, мы будем
         # использовать имя "backend" в директиве proxy_pass
         server 127.0.0.1:88;
     }
    server {
        listen       80;
        server_name  test.ru www.test.ru;

        #charset koi8-r;

        #access_log  /var/log/nginx/host.access.log  main;
 location ~ /\.ht {
                         deny  all;
                 }

location / {
            root   /srv/www/clients/web;
            index  index.php;
            limit_req  zone=one burst=1;
        }

        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #
        #error_page   500 502 503 504  /50x.html;
        #location = /50x.html {
           #root   /srv/www/clients/client0/web5/;
        #}

        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
location ~ \.(php|css|gif|jpg|jpeg|png)$ {
proxy_pass http://test.ru;
}
        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        # location ~ \.php$ {
        #  root           html;
        #  fastcgi_pass   127.0.0.1:90;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        #location ~ /\.ht {
        #    deny  all;
        #}
    }


    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   /srv/www/htdocs/;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    #server {
    #    listen       443;
    #    server_name  localhost;

    #    ssl                  on;
    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_timeout  5m;

    #    ssl_protocols  SSLv2 SSLv3 TLSv1;
    #    ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    #    ssl_prefer_server_ciphers   on;

    #    location / {
    #        root   /srv/www/htdocs/;
    #        index  index.html index.htm;
    #    }
    #}

}



Помогите пожалуйста в решение проблемы

Спустя 38 минут, 2 секунды (31.05.2012 - 06:51) Kumena написал(а):
Пока разбираетесь с Nginx-ом, владельцам ДОСящих ip-адресов запросы отправили?

Спустя 2 часа, 31 минута, 12 секунд (31.05.2012 - 09:22) Zzepish написал(а):
Могу тебе слить свою простенькую антиддос-защиту) там идет блок под ip =) допуск в секунду одного коннекта! при более одного коннекта идет бан на секунду. При последующем обновлении страницы в случае не истечения бана добавляет +1 секунду к бану! надо- пиши в личку

Спустя 4 часа, 37 минут, 7 секунд (31.05.2012 - 13:59) Georgiy_Dovidov написал(а):
Цитата (Zzepish @ 31.05.2012 - 06:22)
Могу тебе слить свою простенькую антиддос-защиту) там идет блок под ip =) допуск в секунду одного коннекта! при более одного коннекта идет бан на секунду. При последующем обновлении страницы в случае не истечения бана добавляет +1 секунду к бану! надо- пиши в личку

после своего поста я такой скрипт написал, работает хорошо, спасибо

Спустя 4 часа, 41 минута, 9 секунд (31.05.2012 - 18:41) Zzepish написал(а):
Georgiy_Dovidov
Да незачто) хоть воодушевителем тут буду)
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.