خبراء السيرفرات مطلوبون جميعاً بسبب قيام حثالـه محاوله لتدمير الموقع

[كويتيات]

السلام عليكم .. أسعد الله مساكم بالخير


ياجماعه عندي مشكلة بموقعي بسبب قيام حثالـه بالإرسال بشكل مستمر فلود والهجوم على السيرفر مستمر قبل 24 ساعه والى الان لم يتوقف وتم استخدام برامج لحجب الهجوم وتحديد اي بي الهجوم تم ايجاد اي بي المهاجم
وهو التالي :
212.138.64.177
وتم إيقافه وبعد ذلك المهاجم يقوم بارسال هجوم من اي بي اخر وأصبح المهاجم يقوم بالهجوم من اغلب الاتصالات السعودية حتى نضطر الى حجب جميع الاتصالات السعودية
وبعد ذلك تم تحدد وحجب جميع الايبيات التي تبدأ بـ :
212.138.64
212.138.47
212.138.113
والان فقط مشتركين ارامكو او اوربت سيتمكن من التصفح بدون مشاكل اما البقيه متوقف لديهم داخل السعوديه اما الخارج فهو يعمل دون مشاكل اتمنا المساعد فهذه المشكله ازعجتني كثيراً
ولم أتمكن من حلها .

[كويتيات]

رد الاستاذ العندليب

وعليكم السلام ورحمة الله وبركاته

في البدايه أحب أن أنوه أنك تتعرض لهجوم يسمى هجوم حجب الخدمه Denial of Service المتكرر من أجهزة ضحايا تستخدم أجهزتهم لهذا الغرض والبركه في الفيروسات الخاصه لهذه الأغراض طبعاً.

حل هالمشكله يتم بتركيب راوتر في شبكة الخادم للتحقق من زوار موقعك واطرح هذا الموضوع في ساحة الاستضافه حتى يخبرك احد المستضيفين عن اسعار هذا الرواتر والتي تصل الى الف دولار شهري ( الله يعينك ) .

البرمجيات تساعدك ولكن لن تحميك حمايه كامله.

[TrustWork]

اخوي اتصل علي على الساعة 12 الظهر او على الساعة 1 و باذن الله راح احل لك هل مشكلة

7169149 اكيد انت داخل الكويت يعني مالك الى هل رقم

اذا خارج الكويت مالك الى على المسنجر ايميلي بالتوقيع

[Eng. Amr]

هل الهجوم على خدمات غير الأباتشي؟ أم الأباتشي فقط؟ الحل للثانية سهل، و الحل للأولى يحتاج لمتابعة .

[كويتيات]

أخي العزيز Sn3s ربما لم تكن هناك حلول سريعه الا عبر هذا الموضوع .. وسيتم الاتصال بك كما أود معرفه مفتاخ الدوالي لدوله الكويت ..


Eng. Amr الهجوم فقط على الاباتشي

[كويتيات]

أرجو من الخبراء المساعده

[web4host]

استخدم

1. DOS-Deflate
   هنا تجد الطريقة
   http://www.directadmin.com/forum/sho...threadid=12099
2. APF & BFD
   سوف تجد في سوالف سوف موضوع كاتبة للمزيد من الحماية ويجب تفعيل Antidos مع اعداد خاص يناسب متطلبات السيرفر من عدد الزوار و غيرها
3. mod_evasive
   هنا تجد الطريقة
   http://www.directadmin.com/forum/sho...threadid=10957
4. mod_security
   هنا تجد القوانين المهم
   http://www.directadmin.com/forum/sho...threadid=11125
5. تحتاج الى اعداد خاص sysctl.conf

المواضيع المكتوبة في directadmin.com يستخدمها الكثير و الموضوع متجدد.
حماية اوليه و تحتاج الى اعداد الاباشي , يعني الموضوع متراط :nice:
بوعيسى

[Eng/ Ahmed]

السلام عليكم أخي العزيز .
تفضل بمراجعة هذا الدرس و خاصة جزئية شرح تركيب mod_dosevasive هيفيدك كثير .
http://www.swalif.net/softs/showthread.php?t=156925

كما جرب الأمر التالي

كود:

netstat -tn --inet 2> /dev/null| grep ":80" | awk '/tcp[ ]*[0-9]+[ ]*[0-9]+[ ]+[^ ]+[ ]*[^ ]*/ { print $5; }' | cut -d":" -f1 | sort | uniq -c | sort -n

وشوف أكثر اي بي مسوي كونيكشن مثلاً متعدي ال 50 وسوي له بلوك من السيرفر عن طريق الأمر التالي ان كان لديك ال apf بالسيرفر

كود:

apf -d xxx

مع مراعاة تغيير ال xxx بالip المسوي كونيكشن كتيير .
سوي بعد ذلك ريستارت لل apf

كود:

service apf restart

جرب و قل لنا النتيجه

تحياتي ،
أحمد

[web4host]

هذا قديم mod_dosevasive
الجديد هو mod_evasive وهذا الموقع
http://www.nuclearelephant.com/projects/mod_evasive/

[Eng. Amr]

لا ليس قديماً ،فقط تغير أسمه، مع التنويه بأن الشرح في الموضوع المذكور لـ mod_evasive نسخة 1.10 و أحدث إصدار هو 10.1 وتم إصداره في شهر 8 عام 2005 ،و الشرح كان في شهر 6 تقريباً لكنه يعمل بإمتياز و الchange logلم يذكر سوى القليل " أتذكر ذلك تقريباً "

صاحب الموضوع ؛طالما الهجوم على الأباتشي فقط فإتبع الموضوع الذي وضعه الأخ أحمد " تركيب mod_evasive و تعديل قيم الأباتشي كونفنج"

[كويتيات]

استخدم

1. DOS-Deflate
   هنا تجد الطريقة
   http://www.directadmin.com/forum/sho...threadid=12099
2. APF & BFD
   سوف تجد في سوالف سوف موضوع كاتبة للمزيد من الحماية ويجب تفعيل Antidos مع اعداد خاص يناسب متطلبات السيرفر من عدد الزوار و غيرها
3. mod_evasive
   هنا تجد الطريقة
   http://www.directadmin.com/forum/sho...threadid=10957
4. mod_security
   هنا تجد القوانين المهم
   http://www.directadmin.com/forum/sho...threadid=11125
5. تحتاج الى اعداد خاص sysctl.conf

المواضيع المكتوبة في directadmin.com يستخدمها الكثير و الموضوع متجدد.
حماية اوليه و تحتاج الى اعداد الاباشي , يعني الموضوع متراط :nice:
بوعيسى

اشكرك أخي بو عيسى لكن أود شرح لكفيه إيقاف الفلود عن الموقع

[كويتيات]

السلام عليكم أخي العزيز .
تفضل بمراجعة هذا الدرس و خاصة جزئية شرح تركيب mod_dosevasive هيفيدك كثير .
http://www.swalif.net/softs/showthread.php?t=156925

كما جرب الأمر التالي

كود:

netstat -tn --inet 2> /dev/null| grep ":80" | awk '/tcp[ ]*[0-9]+[ ]*[0-9]+[ ]+[^ ]+[ ]*[^ ]*/ { print $5; }' | cut -d":" -f1 | sort | uniq -c | sort -n

وشوف أكثر اي بي مسوي كونيكشن مثلاً متعدي ال 50 وسوي له بلوك من السيرفر عن طريق الأمر التالي ان كان لديك ال apf بالسيرفر

كود:

apf -d xxx

مع مراعاة تغيير ال xxx بالip المسوي كونيكشن كتيير .
سوي بعد ذلك ريستارت لل apf

كود:

service apf restart

جرب و قل لنا النتيجه

تحياتي ،
أحمد

الاستاذ احمد هذا ماقمنا به بالفعل فلقد تم حجب الاي بيات السعودية فهي محصوره فقط على مزودي الخدمه لذلك تم إيقافها جميعاً

212.138.64
212.138.47
212.138.113
والان فقط مشتركين ارامكو او اوربت سيتمكن من التصفح بدون مشاكل اما البقيه متوقف لديهم داخل السعوديه

[web4host]

اذا سيرفراك دايركت ادمن افتح تذكره هنا
http://home.web4host.net
ونقوم بتركيب برامج الحماية لك

****

تركيب DOS-Deflate 0.5

كود:

wget http://www.inetbase.com/scripts/ddos/install.ddos
chmod 755 install.ddos
./install.ddos

السكربت يحظر الاي بي الذي يتصل بسيرفر بكمية اتصال كبيره و يحظرها ويرسل رساله لبريد الرووت وهذا مثل على الرساله

Banned the following ip addresses on Tue Jun 27 05:11:01 CDT 2006

193.188.105.22 with 182 connections

السكربت مفيد, بعد التركيب سوف تشوف فرق إن شاء الله.
ويجب تركيب mod_evasive و mod_security+مع قانون ليحمي سيرفرك بموجب القانون المذكور و mod وحده لايكفي

تحتاج الى اعداد للـsysctl.conf و الطريقة سهله جدا.
اعمل نسخه احتياطية قبل التحرير

كود:

cp /etc/sysctl.conf /etc/sysctl.conf.safe.copy

افتح الملف ببرنامج محرر النصوص مثل pico او nano

كود:

pico -w /etc/sysctl.conf

امسح الموجود و اضف هذا

كود:

#Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.

# Disables packet forwarding
net.ipv4.ip_forward=0

# Disables IP source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Disable ICMP Redirect Acceptance
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

# Enable Log Spoofed Packets, Source Routed Packets, Redirect Packets
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.lo.log_martians = 0
net.ipv4.conf.eth0.log_martians = 0

# Disables IP source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Disable ICMP Redirect Acceptance
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

# Disables the magic-sysrq key
kernel.sysrq = 0

# Decrease the time default value for tcp_fin_timeout connection
net.ipv4.tcp_fin_timeout = 15

# Decrease the time default value for tcp_keepalive_time connection
net.ipv4.tcp_keepalive_time = 1800

# Turn off the tcp_window_scaling
net.ipv4.tcp_window_scaling = 0

# Turn off the tcp_sack
net.ipv4.tcp_sack = 0

# Turn off the tcp_timestamps
net.ipv4.tcp_timestamps = 0

# Enable TCP SYN Cookie Protection
net.ipv4.tcp_syncookies = 1

# Enable ignoring broadcasts request
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable bad error message Protection
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Log Spoofed Packets, Source Routed Packets, Redirect Packets
net.ipv4.conf.all.log_martians = 1

# Increases the size of the socket queue (effectively, q0).
net.ipv4.tcp_max_syn_backlog = 1024

# Increase the tcp-time-wait buckets pool size
net.ipv4.tcp_max_tw_buckets = 1440000

# Allowed local port range
net.ipv4.ip_local_port_range = 16384 65536

احفظ الملف و اعمل اعادة تشغيل للسيرفر, واذا لاتريد عمل اعادة تشغيل للسيرفر نفذ الامر التالي

كود:

/sbin/sysctl -p

ثم

كود:

sysctl -w net.ipv4.route.flush=1

جرب الان و رد خبر في الموضوع هذا للمتابعه



بوعيسى

[Eng/ Ahmed]

اذا سيرفراك دايركت ادمن افتح تذكره هنا
http://home.web4host.net
ونقوم بتركيب برامج الحماية لك

****

تركيب DOS-Deflate 0.5

كود:

wget http://www.inetbase.com/scripts/ddos/install.ddos
chmod 755 install.ddos
./install.ddos

السكربت يحظر الاي بي الذي يتصل بسيرفر بكمية اتصال كبيره و يحظرها ويرسل رساله لبريد الرووت وهذا مثل على الرساله

السكربت مفيد, بعد التركيب سوف تشوف فرق إن شاء الله.
ويجب تركيب mod_evasive و mod_security+مع قانون ليحمي سيرفرك بموجب القانون المذكور و mod وحده لايكفي

تحتاج الى اعداد للـsysctl.conf و الطريقة سهله جدا.
اعمل نسخه احتياطية قبل التحرير

كود:

cp /etc/sysctl.conf /etc/sysctl.conf.safe.copy

افتح الملف ببرنامج محرر النصوص مثل pico او nano

كود:

pico -w /etc/sysctl.conf

امسح الموجود و اضف هذا

كود:

#Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.

# Disables packet forwarding
net.ipv4.ip_forward=0

# Disables IP source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Disable ICMP Redirect Acceptance
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

# Enable Log Spoofed Packets, Source Routed Packets, Redirect Packets
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.lo.log_martians = 0
net.ipv4.conf.eth0.log_martians = 0

# Disables IP source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Disable ICMP Redirect Acceptance
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

# Disables the magic-sysrq key
kernel.sysrq = 0

# Decrease the time default value for tcp_fin_timeout connection
net.ipv4.tcp_fin_timeout = 15

# Decrease the time default value for tcp_keepalive_time connection
net.ipv4.tcp_keepalive_time = 1800

# Turn off the tcp_window_scaling
net.ipv4.tcp_window_scaling = 0

# Turn off the tcp_sack
net.ipv4.tcp_sack = 0

# Turn off the tcp_timestamps
net.ipv4.tcp_timestamps = 0

# Enable TCP SYN Cookie Protection
net.ipv4.tcp_syncookies = 1

# Enable ignoring broadcasts request
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable bad error message Protection
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Log Spoofed Packets, Source Routed Packets, Redirect Packets
net.ipv4.conf.all.log_martians = 1

# Increases the size of the socket queue (effectively, q0).
net.ipv4.tcp_max_syn_backlog = 1024

# Increase the tcp-time-wait buckets pool size
net.ipv4.tcp_max_tw_buckets = 1440000

# Allowed local port range
net.ipv4.ip_local_port_range = 16384 65536

احفظ الملف و اعمل اعادة تشغيل للسيرفر, واذا لاتريد عمل اعادة تشغيل للسيرفر نفذ الامر التالي

كود:

/sbin/sysctl -p

ثم

كود:

sysctl -w net.ipv4.route.flush=1

جرب الان و رد خبر في الموضوع هذا للمتابعه



بوعيسى

نفس اللي كنت هقوله بالنسبة لتسويةاعدادات في ملف sysctl.conf :nice:
يوجد ايضاً برنامج جميل اسمه DDOS Attack يمكنك ان تظبطه بحيث بيسوي بلوك للأي بي تقائياً اللي بيوصل لعدد كونيكشن محدد انت بتحدده .

[web4host]

DOS-Deflate يحظر الاي بي لفتره معينه فقط ثم يتم السماح للاي بي و اذا رجع لكمية اتصال كبيرة يتم حظره مره اخرى
هذا الموقع للسكربت
http://projects.medialayer.com/