Форум PHP

У меня есть сервер, на котором расположено несколько "вуду" чатов.
Есть один человек, который умеет останавливать мой сервер, то есть делает так, что чаты перестают работать и все страницы перестают отвечать. Я написал об этом хостеру и они сказали, что типа через ssh сервер нормально отвечает и в чем проблема они не знают. И в логах никаких ошибок нету. Вышел я на этого хакера, он сказал что делает DOS атаки. Пришлось отдать ему один хост вместе с доменом, чтобы отстал от меня со своими атаками, но он постоянно придумывает новые какието условия. Как мне быть? Помогите? Как защитить свой сервер от его атак? Надежда только на Ваш форум. Может быть даже заплатить смогу.

Еще я узнал что он совершенно не знает ни php ни mysql и делает это с помощью какихто прог

из аси:

Он (21:27:08 14/10/2007)
ето ддос

Он (21:27:25 14/10/2007)
а кроме ддоса у меня ешо рейн и клайб есть

Он (21:27:35 14/10/2007)
так то вообще силище

За такие шутки можно отправиться в одно нехорошее место. Можно даже надолго.
Расскажите об этом своему кулхацкеру, может быть успокоется.

DDOS атака

По ссылке очень хорошо рассказано что это такое, а как с этим бороться не понять.

http://www.internet-technologies.ru/articles/article_436.html

Я читал, что хороший хостинг с мощным сервером не может положить никакая DDos-атака. Поэтому скажите вашему хостеру, чтобы принимал меры, а не самоустранялся, потому что такая атака может быть на любого из его клиентов, а не только на вас. А если хостер не хочет или не может принимать меры, переходите на другой хостинг. Зря вы домен отдали: так вы в конце концов ВСЁ отдадите.
А вид борьбы с DDos один: мощный сервер. Хотя не факт, что в вашем случае - имено DDos. Сомнительно как-то... Тогда бы хостер и сам бы заволновался, я думаю...

Хостер довольнотаки хороший -- renter.ru (а главное не дорогой - в сравнении с остальными)
Сервер тоже мощьный Pentium D 2.8GHz CPU (Dual Core) 1Gb RAM 80Gb

Они сказали:
1. По выходным мы не работаем, но это понятно, притензий нету
2. Может быть вообще не найдем эту уязвимость
3. Услуга будет платная

Я уже впринципе готов заплатить им любые деньги которые имею лишь бы избавиться от этого так называемого хакера со своими ддос атаками.

Я бы на вашем месте сменил хостинг и никому ничего не платил бы... Если хостер просит денег за то, что не может вас оградить от таких проблем - нафиг нужен такой хостер?!

я уже за день столько инфы прочитал про ддос атаки а как с ними бороться никто толком и не знает ((

DDOS атака вещь серьезная, при правильной ее постановке, можно "завалить" сервер, а дальше... Хостеру надо о таких вещах беспокоиться, ну а вам знать, что кроме "откупа" есть еще и уголовно-правовые меры.

>DDOS атака вещь серьезная, при правильной ее постановке, можно "завалить" сервер, а
>дальше... Хостеру надо о таких вещах беспокоиться, ну а вам знать, что кроме "откупа" есть еще
>и уголовно-правовые меры.
Сейчас сервера строятся так, что валится лишь виртуальный хост - сам сервер и остальные виртуальные хосты продолжают работать.

Банить айпи атакующих, думаю если сильный ДДОС, то их будет за пару сотен.

>я уже за день столько инфы прочитал про ддос атаки а как с ними бороться никто
>толком и не знает ((
Анализ логов Web-сервера (странно, что тех-поддрежка ничего не видит в логах - либо он не через DDos действует, либо им не больно это надо), но скорее всего дело не только в DDos-атаках.

>Я читал, что хороший хостинг с мощным сервером не может положить никакая DDos-атака.
Хостинг да, но не сайт - хороший хостинг - это когда DDos-атака ложит лишь атакуемый сайт, но не весь хостинг.

>А вид борьбы с DDos один: мощный сервер.
Не совсем так - следует читать логи и банить всех подряд, после атаки восстанавливать забанненые адреса, оставляя их на всякий случай - до тех пор, пока атакующему не надоест или не появятся новые объекты атаки.

PS Однако, на DDos-атаку не больно похоже судя по описанию.

>И в логах никаких ошибок нету.
Нет ли многочисленных обращений с одних и тех же IP-адресов странного вида?

А что атакуют? Не СУБД?

Кроме разнообразных мер организационного характера, мне кажется стоит организовать
и на програмном уровне максимально эффективную оборону. Надо помнить, что не все козыри на его стороне.

Во-первых он не может атаковать неограниченно по времени. Админы атакующих серверов
рано или поздно заметят странности в логах. И он начнёт утрачивать широту своего атакующего фронта.

Наиболее эффективно, если выступать с позиции простого PHP программиста, будет банить
IP через .htaccess. То есть ещё на уровне сервера. Так бан выйдет очень быстрый и ресурсов атакующего может не хватить, чтобы положить сайт. Если же писать адреса в базу, то бан получится медленный. Может не вытянуть нагрузки.

Сам я не возьмусь сейчас написать скриптик, который добавлял бы запрещённые
IP в htaccess - не достаточно ориентируюсь в синтаксисе.
Давайте попросим кого-то из веб-мастеров написать такой скрипт, который добавляет
IP адреса, выявленные как участвующие в DDOS атаке в htaccess

Потом после атаки сотрёте его, а копию сохраните на случай повторной атаки.
Устанут с вами бороться!

Во-вторых через сервис whois (на этом форуме вы найдёте подробности)
можно организовать рассылку почтовых уведомлений админам тех серверов,
которые участвуют в атаке. Желательно, конечно в каждом письме указывать
причину по которой вы считаете этот сервер участвующим в DDOS. Админы
не проявившие достаточной поспешности или квалификации могут ведь попасть в чёрный список. Вы ведь вполне можете опубликовать список атаковавших вас IP, скажем на этом
форуме.

В-третьих, надо знать своё слабое место.
Скорее всего на PHP хостинге - это маленький объём оперативной памяти.
HTML хостинг практически невозможно уложить DDOS атакой. Так как каждый запрс занимает крохотную долю ресурса памяти, да и времени.
Так что увеличив память, если это ваш сервер и итдав контроль за атакой Apachy,
вы станете практически неуязвимы.

Пишите, как дальше развиваются у вас события!

>Во-первых он не может атаковать неограниченно по времени. Админы атакующих серверов
>рано или поздно заметят странности в логах. И он начнёт утрачивать широту своего атакующего
>фронта.
Никто сейчас не собирает бот-сети самостоятельно - их покупают. Потеряет силу эта бот-сеть - купит другую. Причём атака идёт не с серверов, а с пользовательских машин с широкополосным интернетом, пользователи которых не устанавливают FireWall, обновления и ативирус - даже если Windows переустановят - через пять минут после выхода в сеть, они опять будут в бот-сети - это неисчерпаемый ресурс.

>Может не вытянуть нагрузки.
Если ресурс валится, дополнительный SQL-запрос никак не увеличит производительности - на самом деле всё фиксируется и так - в журнальных файлах Apache - их и следует анализировать.

>Сам я не возьмусь сейчас написать скриптик, который добавлял бы запрещённые
>IP в htaccess - не достаточно ориентируюсь в синтаксисе.
Синтаксис файла .htaccess описывается в статье по ссылке.

>Никто сейчас не собирает бот-сети самостоятельно - их покупают. Потеряет силу эта бот-сеть - купит другую.

Ну, это не суть того, что я имел в виду. Скажем, владелец бот-сети, он же заинтересован
не терять возможности. Так как сеть вероятно сдаётся в аренду всё-таки, а не покупается.
Он не захочет эксплуатировать её слишком долго без толу. Поищет другую жертву.

>Причём атака идёт не с серверов, а с пользовательских машин с широкополосным интернетом, пользователи которых не устанавливают FireWall, обновления и ативирус - даже если Windows переустановят - через пять минут после выхода в сеть, они опять будут в бот-сети - это неисчерпаемый ресурс.

Тут я не знаю деталей, может быть что-то не так написал. Во-первых что такое широкополосный Интернет? Во-вторых, недавно у двух своих знакомых ставил фаерволы. Попутно сканировал на вирусы. Ничего не нашёл. Хотя чаще бывает, что находишь. Но они уже месяц в интернете, а всё без вирусов и без фаервола! Так что через пять минут заражение не происходит.
>
>>Может не вытянуть нагрузки.
>Если ресурс валится, дополнительный SQL-запрос никак не увеличит производительности

Вот с этим мне трудно согласиться. Дело не в одном SQL запросе, хотя и он "весит" очень много по сравнению с обращением к ячейке памяти или даже массива.
Если атака заставляет запускать PHP скрипт, то уже это откусывает много памяти под
копию интерпретатора, которая грузится для каждого скрипта индивидуально. Так можно очень быстро переполнить оперативку. Если начнётся своппинг - сайт будет лежать.
А вот если фильтрацией займётся модуль Apachy, затраты его ресурсов на каждый отклоняемый им запрос будут мизерные. Современный комп обработает их десятки тысяч в секунду. Если, конечно, информация об отклоняемых IP будет храниться в оперативной памяти.

>- на самом деле всё фиксируется и так - в журнальных файлах Apache - их и следует анализировать.
>
Чтобы анализироавть эти журналы надо иметь семь пядей во лбу - они огромные и их долго не хранят. Надо специальный анализатор к ним.


>Синтаксис файла .htaccess описывается в статье по ссылке.

Да, да, там написано:
deny from 195.135.232.70
но это и в любом справочнике написано.
Несколько вопросов возникает как писать если адресов много?
Можно ли указать remote address ? Итп.