IPTABLES+HTTP referer

[quote:0aef833b47="Xanco"]
(Azért segítek: Az általam javasolt megoldás out-of-the-box Apache-csal működőképes és 1 req/sec kérés mellett nem igényel többleterőforrást az iptables változathoz képest, mivel a pre-fork apache processzek úgyis léteznek és forglalják a memóriát. CPU-ban pedig ekkora tempónál észrevehetetlen a különbség. Előnye az iptablessel szemben, hogy nem igényel patchelést és forgatást.)

Igen, én is úgy érzem, hogy apache-csal jobban járok egyelőre. A vas egyébként elég erős, csak tényleg nem szeretném, hogy beteljen a fájlrendszer ezek miatt.

Üdv!

Tegnapelőtt itt a HUP-on találtuk meg ezt az apacs modult, ami pont az ilyen DoS/DDoS/BruteForce próbálkozások terhét veszi le webszerver válláról:
http://hup.hu/modules.php?name=News&file=article&sid=7729

Úgy tűnik, hogy bár még mindig támadnak, de a szerver végre újra normális válaszidőkkel tudja kiszolgálni a rendes kéréseket is. Enélkül volt, hogy szegény csak 10 másodpercen túl tudott csak válaszolni, ezért többször is percekre elérhetetlennek tűnt. Most már gyűlik a feketelista a sikeresen visszavert támadókról. :lol:

Nagy tisztelettel ajánlom a Kedves Olvasók figyelmébe én is ezt a modult, hátha éppen az ő webszerverük is ostrom alatt áll!

Továbbiak a beállításáról:
http://www.eth0.us/mod_evasive

Üdv:
Vales

Üdv!

Elég nagy bajban vagyok, ezért volna egy fontos kérdésem, konkrétan:
iptables-ben van-e lehetőség http referer alapján eldobálni csomagokat, hogy az apache-ig már el se jusson?
A baj az, hogy nagyon úgy néz ki, valami jóindulatú gárda, vagy féreg/trójai hegyek megtalálta a webszerverünket és valami érthetetlen oknál fogva DDoS támadás alatt áll tegnap este óta (jelenleg is).
A logok alapján a világ sok tájáról http-kérésekkel bombáznak folyamatosan, ámbár még nem sikerült az oldalakat megbénítani, de nagyon lelassult az elérhetősége. Az apache logból feltűnt, hogy egy nagycsomó, különbőző IP-címről jön a request, ellenben a referer-ben mindenütt szerepel a *.babesandbitches.net oldal, mintha ezen a pornószájton lévő képgalériák mináunk lennének, természetesen "Files does not exists..." a vége a próbálkozásnak, de tail -f-fel nézve szemmel láthatóan osztódással szaporodnaka bejegyzések, sacc per kábé másodpercenként legalább egy van. A legnagyobb baj az, hogy iszonyúan hízik a log, ezért állandóan takarítani kell, nehogy beteljen a fájlrendszer... :cry:
IPTABLES-ből próbáltam kitiltani több címtartományt is, de ez nem igazán használ, mert annyian vannak, mint az oroszok és ráadásul ha ügyfelet tiltok ki, az meg nem túl jó. :oops:
Kérdem, hogy az iptables tud szűrni http-referer-re? Sajnos "Guglé" egyelőre negatív, bár lehet rosszul keresek...
Ha nem iptables, akkor pedig hogyan tltsam ki ezeket a tetveket?
Beteszek ide egy részletet az apache error és access logokból, hátha másokat is támadnak:
error.log:
[code:1:467c847920]
[Mon Oct 24 11:44:39 2005] [error] [client 61.247.246.43] File does not exist: /var/httpd/img, referer: http://babesandbitches.net/092401a/
[Mon Oct 24 11:44:40 2005] [error] [client 83.25.84.140] File does not exist: /var/httpd/img, referer: http://babesandbitches.net/100802b/
[Mon Oct 24 11:44:40 2005] [error] [client 61.247.246.43] File does not exist: /var/httpd/img, referer: http://babesandbitches.net/092401a/
[Mon Oct 24 11:44:40 2005] [error] [client 85.216.5.108] File does not exist: /var/httpd/img, referer: http://babesandbitches.net/gallery.phtml?image=http://content1.babesandbitches.net/101501/12.jpg
[Mon Oct 24 11:44:40 2005] [error] [client 85.216.5.108] File does not exist: /var/httpd/img, referer: http://babesandbitches.net/gallery.phtml?image=http://content1.babesandbitches.net/101501/12.jpg
[Mon Oct 24 11:44:40 2005] [error] [client 83.25.84.140] File does not exist: /var/httpd/img, referer: http://babesandbitches.net/100802b/
[Mon Oct 24 11:44:40 2005] [error] [client 83.25.84.140] File does not exist: /var/httpd/img, referer: http://babesandbitches.net/100802b/
[/code:1:467c847920]
access.log:
[code:1:467c847920]
co649091-a.almel1.ov.home.nl - - [24/Oct/2005:11:46:27 +0200] "GET /img/ptn/ldyp8.jpg.jpg HTTP/1.1" 404 219
co649091-a.almel1.ov.home.nl - - [24/Oct/2005:11:46:27 +0200] "GET /img/ptn/tgec2.jpg.jpg HTTP/1.1" 404 219
co649091-a.almel1.ov.home.nl - - [24/Oct/2005:11:46:28 +0200] "GET /img/ptn/model_14268.jpg HTTP/1.1" 404 221
co649091-a.almel1.ov.home.nl - - [24/Oct/2005:11:46:28 +0200] "GET /img/ptn/rgdc4.jpg.jpg HTTP/1.1" 404 219
222.50.70.16 - - [24/Oct/2005:11:46:32 +0200] "GET /img/ptn/tgec2.jpg.jpg HTTP/1.1" 404 219
222.50.70.16 - - [24/Oct/2005:11:46:32 +0200] "GET /img/ptn/ldyp8.jpg.jpg HTTP/1.1" 404 219
222.50.70.16 - - [24/Oct/2005:11:46:32 +0200] "GET /img/ptn/model_14268.jpg HTTP/1.1" 404 221
[/code:1:467c847920]

Segítségeteket előre is Köszönöm!

[quote:6f4e9af3ee="mrbond"]iptables patch-o-maticban van rá lehetőség, hogy azt a csomagot dobd el, ami tartalmaz egy adott sztringet.

persze ezzel nem biztos, hogy túl sokat nyersz, mert így a dost az iptablesre tereled, ami szvsz nem sokkal jobban stesszelhető, mint az apache, ha a láncok túl nagyok.

Ez pedig tetszene, de akkor mi a jó megoldás? Várni, amíg megunják a parasztok a támadást? Mind1, azért köszi, megpróbálom...

[quote:14c91c824d="Xanco"]Ha csak az a problémád, hogy sok a log, akkor megoldható, hogy az ezzel a referrerel érkező kérések ne jelenjenek meg a logokban, és alapból fobiddent kapjanak válasznak. Ehhez rakd be a httpd.conf fájlodba a következőket:

[code:1:14c91c824d]LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\" \"%{Cookie}i\"" full

SetEnvIf Referer babesandbitches\.net do-not-log
# TransferLog helyett
CustomLog /var/log/logfajl full env=!do-not-log

RewriteEngine On
RewriteCond %{ENV:do-not-log}
RewriteRule .* - [F,L][/code:1:14c91c824d]

Igen, momentán ez a legnagyobb baj, hogy félelemmel nézem, ahogy hízik a log, bár az oldal nem elérhetetlen. Asszem egyelőre ez lesz a legjobb, megcsinálom és referálok.

Hálásan Köszönöm!

Vales