adm-lib.ru
http://adm-lib.ru/forum/

2) Детский ддос, вариант первый. +"сторожок"
http://adm-lib.ru/forum/viewtopic.php?f=6&t=16
Страница 1 из 1

Автор:  Victor [ 16 мар 2011, 16:57 ]
Заголовок сообщения:  2) Детский ддос, вариант первый. +"сторожок"

Дело было вечером.... Вернее, не совсем, вечером, но это как для кого, вечер - понятие относительное :)
В пятницу, совсем как в первом посте этой серии.
Лирическое отступление раз.
Когда мне в очередной раз позвонил разгневанный клиент и начал выяснять, почему это вдруг не работает его классный сайт, я решил, что это непорядок, когда клиент узнает о проблеме раньше админа, и что пора строить "сторожок сайтов". Было перепробовано несколько вариантов с отправкой писем, СМС, и, наконец, решение было найдено. К серваку, который стоит в офисе и используется в качестве файлопомойки, но, к счастью, никогда не выключается, был приручен, по нынешним временам, старинный модем, подключен к офисному телефону и сооружен скрипт на перл, который раз в 5 минут опрашивает самые важные сайты и звонит мне на телефон (этого номера в офисе никто не знает). Я же, видя откуда звонок, его просто отбиваю, чем обеспечивается оперативность и бесплатность процесса "сторожения".
Конец отступления
Так вот, ночь, звонит "сторожок", я продираю глаза, как в анекдоте, перелезаю через. .., включаю комп, и лицезрею ддос во всей его красе. На одном из серверов сайты открываются через раз, зайти по ssh тяжело, в памяти процессов апача на весь ServerLimit. В общем, картина "Приплыли"... Я и приуныл слегонца...
Стоит отметить, что в те времена ддосы были редкостью, и честно говоря, к такому развитию событий я был неготов, никаких, даже элементарных инструментов определения-противодействия у меня под руками не было. То есть, в придачу к картине "ддос во всей своей красе", в наличии было "не ждали". Но что-то делать было нужно, и я начал тупо просматривать логи доступа сайтов, что были на сервере, что-то около 20 штук. И, в одном из логов увидел!!! Уже сейчас я понимаю - мне тогда дико, несказанно повезло. В одном из логов я увидел атаку. Суть везения в том, что это был очень не нагруженный сайт, если бы тогда атаковали один из сайтов с приличной нагрузкой, в условиях тормозов по ssh, я бы ничего в ручную не нашел.
Оказалось, все просто: пионеры атаковали, всего с 4-х ( четырех !!! ) IP-адресов! Ну, не детский сад?
Я закрыл в файрволе эти адреса, убедился, что все стало на свои места. Поскольку, обычно отчеты о происшествиях владельцам сервера я пишу на другой день, то, с чувством выполненного долга, довольный своей "крутизной", пошел досыпать.
И, только на второй день, мне стало страшно...

Продолжение следует.

Автор:  serg-php [ 21 мар 2011, 13:49 ]
Заголовок сообщения:  Re: 2) Детский ддос, вариант первый. +"сторожок"

Уже страшно.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/