Биллинговая система Nodeny

Главная категория => Курилка => Тема начата: ale-x от 22 Декабря 2011, 12:14:09


Название: DDoS или нет?
Отправлено: ale-x от 22 Декабря 2011, 12:14:09
Несколько дней наблюдаю картину - сервер для небольшой сети, все в одном, nas, биллинг, база, веб-сервер - проц загружен в потолок, естественно проблеммы с доступом в инет у клиентов.
Код:
[root@nas /home/***]# top -S
  PID USERNAME  THR PRI NICE   SIZE    RES STATE   C   TIME   WCPU COMMAND
75775 www         1 116    0  1532K   584K RUN     0   1:05 93.95% std

Код:
[root@nas /home/***]# ps ax | grep 75775
75775  ??  R      1:26.87 ./std 178.63.42.134 53

Че это такое? Запретил эту подсеть /16 файрволом - все ок. На следующий день уже другой IP - закрыл и для него.

Название: Re: DDoS или нет?
Отправлено: goletsa от 22 Декабря 2011, 14:29:55
А что за программа запущена?
Может вы и являетесь источником DDoS, ибо программа запущена от имени вебсервера, что подозрительною

Название: Re: DDoS или нет?
Отправлено: stix от 22 Декабря 2011, 14:53:41
phpmyadmin стоит?

через них на перле постоянно заливают руткиты и серверы используют как зомбо-сеть

обычно в 100% уходит процессор, и трафика валит немеряно.
через strace я находил по пиду источники

проверь /tmp, обычно там складируется всё у них

Название: Re: DDoS или нет?
Отправлено: ale-x от 22 Декабря 2011, 15:49:41
точно.
Код:
[root@nas /tmp]# cd /tmp/kk/
[root@nas /tmp/kk]# ls
1               dir             j2              s               v
Vacutele.seen   f               mech.help       sl              v2
autorun         f4              mech.levels     start.sh        x
b               fwd             mech.pid        std
b2              httpd           mech.session    stream
bang.txt        httpd.core      mech.set        tty
cron            j               run             update
пхпмайадмин стоит. есть еще dle, но пользователь dle  имеет доступ только к базе dle.
как так получилось что залили в /tmp руткит?

Название: Re: DDoS или нет?
Отправлено: goletsa от 22 Декабря 2011, 17:36:53
Туда почти все могут писать.

Название: Re: DDoS или нет?
Отправлено: VitalVas от 22 Декабря 2011, 18:12:58
примонтировать /tmp с опцией noexec

Название: Re: DDoS или нет?
Отправлено: stix от 23 Декабря 2011, 07:59:46
я сделал mv perl perl2 :)
на всякий случай от дырявостей скриптов на веб сервере, а в нужных скриптах просто поменял интерпретатор языка

Название: Re: DDoS или нет?
Отправлено: VitalVas от 24 Декабря 2011, 03:40:47
а если зальют исполняемый файл?)
уже проходил такое
самая лучшая защита от такого - монтирования раздела с нужными параметрами

Название: Re: DDoS или нет?
Отправлено: stix от 24 Декабря 2011, 12:38:13
Цитата: VitalVas от 24 Декабря 2011, 03:40:47
а если зальют исполняемый файл?)
уже проходил такое
самая лучшая защита от такого - монтирования раздела с нужными параметрами

с веб серверами тут бабка надвое сказала, ведь бывает нужно ставить там аттрибут выполняемости

Название: Re: DDoS или нет?
Отправлено: 0xbad0c0d3 от 24 Декабря 2011, 16:07:36
Да и noexec - по сути костыль, в данной ситуации тоже. Лечить нужно не симптомы, а очаг. Нужно искать причину: откуда проникают. Чаще всего это:
1. SQL-Inj;
2. PHP-Inj (Уже встречается ооочень редко);
3. Простота паролей в CMS.
4. Бывает и такое, что юзают багу (обычно bufferoverflow) в каком-то сервисе (mysql,www,ftp,smb etc.)
Короч - искать нужно причину

Название: Re: DDoS или нет?
Отправлено: Andrey Zentavr от 25 Декабря 2011, 13:32:45
P.S.: Ну хотя бы на корень пхпмайадмина поставить http-base авторизацию.
А вообще, я использую MySQL Workbench (http://www.mysql.com/products/workbench/) (соединяюсь через SSH-туннель к MySQL который слушает локалхост).

Не##й вообще поделки на биллинг ставить. Биллинг должен быть биллингом.

Название: Re: DDoS или нет?
Отправлено: ale-x от 26 Декабря 2011, 00:36:18
ну да, нас - насом, днс - днсом, БД - БД и т.д. итого около 10 машинок, хотя в данном конкретном случае достаточно одной.

а в .htaccess если для PMA прописать только доверенные ипы?

Название: Re: DDoS или нет?
Отправлено: stix от 26 Декабря 2011, 00:38:58
Цитата: ale-x от 26 Декабря 2011, 00:36:18
ну да, нас - насом, днс - днсом, БД - БД и т.д. итого около 10 машинок, хотя в данном конкретном случае достаточно одной.

а в .htaccess если для PMA прописать только доверенные ипы?
можно и order allow/deny политику
можно по паролю
а можно без Pma

ваще дырявый оч оч

Название: Re: DDoS или нет?
Отправлено: Cell от 26 Декабря 2011, 17:46:50
а можно еще алиас для pma назвать не pma а чебурашка и усе.... )

Название: Re: DDoS или нет?
Отправлено: ale-x от 26 Декабря 2011, 17:55:57
 ;D
плюсанул

Название: Re: DDoS или нет?
Отправлено: elite от 30 Декабря 2011, 23:58:20
Цитата: ale-x от 26 Декабря 2011, 00:36:18
ну да, нас - насом, днс - днсом, БД - БД и т.д. итого около 10 машинок, хотя в данном конкретном случае достаточно одной.

а в .htaccess если для PMA прописать только доверенные ипы?
ну а как же Xen?

Название: Re: DDoS или нет?
Отправлено: Andrey Zentavr от 31 Декабря 2011, 16:19:28
Цитата: elite от 30 Декабря 2011, 23:58:20
Цитата: ale-x от 26 Декабря 2011, 00:36:18
ну да, нас - насом, днс - днсом, БД - БД и т.д. итого около 10 машинок, хотя в данном конкретном случае достаточно одной.

а в .htaccess если для PMA прописать только доверенные ипы?
ну а как же Xen?

Кстате, не знаю как на счёт Xen, а вот под Linux KVM Фря очень уж не плохо работает.
Единственное что плохо - когда поднимаешь много машинок на реальной тачке - IO (input/output) сильно падает. А для БД это большая печалька. Тем более если мы включим детальную статистику и у тебя абонов не 100-300 а в раз десять больше


Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines