Версия для печати темы

Автор: Mr.Smit 10.12.2008, 1:55

Всем привет.
Последнее время часто стали досить. Уже замучали. Сервера стоят на локальной машине. Из серверов запущены: КС, ХАБ, трансляция радио, веб портал и тим спик. Подскажите как можно защититься от этой напасти?

Операционка Win 2003 R2 + все обновления. Пробывал ставить фаервол, но он систему подкгружает не плохо (Ставил аутпост последний). Только просьба не писать, переходи на юникс... и т.п. помимо сервера это еще и рабочая станция.

Всем заранее спасибо. Надеюсь на адекватные ответы

Автор: mariner 10.12.2008, 2:10

адекватно если- досзащиты в вэбсерве настрой (плагины ограничивающие коннекты, например bwshare, я б еще ngnix посоветовал, но у тя не никс), на хабе вруби антидос защиту, кс там тоже есть плагин-блокер на переподключение. Как фаер - настрой обычный вендовый фаервалл... вот тока с шуткастом я хз как. не знаю, честно...

PS ну и конечно - переходи на дебиан (имхо круче)(и да, у меня сервак тоже как рабочая станция).

Автор: Mr.Smit 10.12.2008, 2:27

mariner, да я бы перешел, но не связывался с *nix системами, вот каникулы будут, сяду изучать.

Автор: mariner 10.12.2008, 14:18

Смит, могу поподробней рассказать про плагины все, если надо ^_^

Автор: LeoSP 10.12.2008, 19:58

Последний аутпост очень сильно нагружает систему,поэтому ставь последнюю из Фаервол серии Firewall Pro 4.0 Build
Защищает отлично,и комп не тормозит.

Автор: Setuper 10.12.2008, 20:15

каким образом проявляются ddos атаки или как ты о них узнал?

Автор: Mr.Smit 11.12.2008, 12:57

Первый признак который я заметил, это отключение сетевухи, все работает кроме сетевой. ЕЕ нельзя ни отключить, ни удалить. Перезапуск компа.. начинает перезагружаться.. так и висит, только reset помогает. Потом обнаружил очень большую нагрузку на проц apache-м. Поппытался зайти на сайт, а он у меня не грузится, идет постоянно подключение. На апаче стоит ограничение в 250 подключений, а такого количества пользователей не могло зайти. За 3 года что стоит сайт, больше всего было около 50 человек. Ладно, захожу в логи апача, а там... 300 метров error.log весит. Я его не долго думая удаляю. Он тут же создается наново и объем его увеличивается с колосальной скоростью. Он метрами в секунду добавлялся. Мы с пацанами охренели от такого. Я его быстренько скопировал в другое место, открыл.... но жаль там ИП не писался. А логи доступа у меня не пишет. Я только полез отключить апач, как у меня опять отрубилась сеть. Я уже подумал что опять сетевуха... Но позакрывав все сервера, сеть раздуплилась. Щас вот пока небыло атак. Жду...

Ну и на всяк случай конфиг компа, может чем поможет.
DualCore Intel Core 2 Duo E8400, 3400 MHz (9 x 378) [разогнан. Исходная 3000 MHz]
4096 Мб (DDR2-800 DDR2 SDRAM) [разогнана. Работает как 1008]
Asus P5K
Windows Server R2 SP2 + все обновления

Автор: Setuper 11.12.2008, 13:32

Ты хоть читал, что там в логах апача написано? Формат данных в логах настраивается в настройках. В последних версиях апача а логе error.log уже настроено прописывать ip адреса.

Если ты посмотришь в этот файл, то я думаю, что ты увидишь, что тебя пытаются взломать (если уже не взломали). Очень часто пытаются брутфорсом найти уязвимость (например открыть phpMyAdmin). Но брутфорс это не ддос атака!

А сетевые карты надо покупать качественные.

Автор: mariner 11.12.2008, 14:40

а еще серваки разгонять не стоит (ну это так, к сведению)

Автор: Delion 12.12.2008, 1:07

...а я вот давеча углядел CTM-эксплойт в действии на своём дочернем хабе. Проверил IP цели - дык верно,dchublist.com вовсю лежит.
Дырку,впрочем,закрыл,слишком много я юзерам понаразрешал.