--}}
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем

Какие меры принять, если DDOS-ят VDS?

Нужен совет (поиск решения проблемы. не для купли-продажи)
417
53
С друзьями на NN.RU
В социальных сетях
Поделиться
Вчера и сегодня load average достигал 9. Адреса, с которых лезут, в основном корейские.

Лишние службы отключил на фиг. Левые адреса забил в список забаненных на файрволле.
ICMP отключил. Порт 22 (на который ломились) запретил всем, кроме себя.

Что ещё можно сделать?
Если сервис некоммерческий, то забить, долго ресурсы ботнета тратить по пустякам не будут. Если коммерческий, то воспользоваться услугой защиты от DDoS (всякие там Qrator, Cloudflare и т.п.).

Правда у меня такое впечатление что ты путаешь DDoS с банальным брутфорсом посредством ботнета. Тут просто настроить fail2ban и не нервничать. У них нет цели заддосить сервер.

А ещё можно на 22 порт повесить фиктивный ssh сервер и ловить лулзы. www.opennet.ru/opennews/art.shtml?num=50379#r_title
Не путаю. Может они и пытаются брутфорсить, но ещё Артём Гавриченков рассказывал, что некоторые сайты ложатся даже от поисковых роботов.
"поисковый робот должен уважать robots.txt"

Так что по факту имеем "отказ в обслуживании". Реально - когда load average поднимается до 9, до Redmine уже не достучаться.

fail2ban спасает от брутфорса пароля по ssh, но не спасает от запросов на http / https
Да и нет его в списке пакетов, разве что ручками собирать. Как и endlessh
mirror.yandex.ru/pub/OpenBSD/6.4/packages/amd64/

В логах запросы типа от Firefox, но вместо Windows 6.1 надпись "DotBot" - думаю придётся написать им на php своё обломинго.

Сервис ПОКА некоммерческий. Используется для коммерческой разработки, но до продакшена ещё далеко.
Собственно, в процессе работы и словил подобную ситуацию.
Anselm
25.08.2019
для fail2ban можно и свой конфиг напилить, например по логам nginx/apache2, если там UA указан нужный-изи
Спасибо, буду иметь в виду.

Пока вроде прекратили. Видимо, им действительно ssh понравился. Как стал недоступен, так им сразу стало неинтересно.

А не, опять load average в районе 7.
Anselm
25.08.2019
еще тема. ssh на нестандартный крупный порт. стандартный для большинства сервисов используем как ханипот, ткнулся на 22-улетел в баню. можно ухудшить, почти все порты так настроить, кроме пары нужных. вероятность сразу нащупать нужный порт 1 к 65535 (уже не очень просто). еще можно порт кнокинг настроить, там вообще городи любые грабли
Вот высплюсь и завтра... точнее, уже сегодня - займусь.
Блин, работать надо, а тут такие палки в колёса.

Там сейчас ssh, http, https, ldap и jabber
Anselm
25.08.2019
тогда только 80/443 оставить нормально, остальное хитро спрятать за порткнокинг или включать по "волшебной ссылке", а по UA можно в логах легко насобирать IP. на крайняк по крону грепни. но лучше ставить специальное решение, а не городить костыли
Да уже погрепал в файлик /etc/pf.banned
И в pf.conf его подключил, а block-policy выставил в режим drop

Но вроде они реально интерес потеряли: с утра пришёл на работу, а load average 0.38
"поисковый робот должен уважать robots.txt"

Не обязан. А Гугл и вслед за ним и Яндекс вовсе стали игнорировать директиву Crawl-delay. webmaster.yandex.ru/blog/sko...tivy-crawl-delay
Узнал об этом случайно, увидев в логах что Яндекс стал слать дофига запросов в секунду, несмотря на то что Crawl-delay был установлен в одну секунду.

Короче, если не хватает ресурсов, значит надо купить больше.
BrainFucker писал(а)
"поисковый робот должен уважать robots.txt"
<br> Не обязан.
Так Артём Гавриченков о том и рассказывает.
Что если в этом файле написано "не более одного запроса в секунду", то Майкрософт и делает не более одного запроса в секунду... с одного сервера Майкрософт. :-D
BrainFucker писал(а)
Короче, если не хватает ресурсов, значит надо купить больше.
1. Чтобы ресурсов не хватало для разработки?
2. Когда сервер будет в продакшене, можно будет и купить.

К слову, сейчас с утра всё тихо-спокойно. На удивление. --->
Афраний писал(а)
1. Чтобы ресурсов не хватало для разработки?

Ну вот тебе реальное нагрузочное тестирование разработки :-D
Рановато оно началось :-) Не по плану.
Free Cat
26.08.2019
BrainFucker писал(а)
Гугл и вслед за ним и Яндекс вовсе стали игнорировать директиву Crawl-delay

это уже несколько лет так у них 8-) .
Да ладно, пару лет всего, судя по реакции в интернетах. Причём многие не в курсе.

Кстати, Гугл несмотря на это, особо не наглеет и частота запросов норм.
FreeCat
27.08.2019
я не по "реакциям", я по своему сайт смотрел :) ...у м ня раньше один из хостеров загрузку CPU жёстко контролировал *pardon* ... и говорил что "это ваши проблемы" *pardon* . он уже пару лет как перестал это делать -а проблемы с "пауками" и Г и Я возникали раньше этого ;-) ...
Тебе что нибудь не то померещилось.
FreeCat
28.08.2019
да-да-да :-D ... что с тобой не случилось - то не существует :-D ...
FreeCat
27.08.2019
P.S. А писать в инете смысла не видел. Ну напишу я в инете. И-и-и-и ЧТО :-D ?
Глупый вопрос и не в тему. В интернет в принципе обсуждают любые события, тем более технические и околотехнические на профильных ресурсах.
А на каком нибудь форуме местный Афраний обязательно бы спросил чего это Яндекс офигел.
Free Cat
28.08.2019
зачем обсуждать то что ты изменить не можешь 8-) ?
зачем обсуждать то что ты изменить не можешь

Facepalm.jpg

ЗЫ: частоту запросов у Яндекса можно изменить у них в настройках.
FreeCat
26.08.2019
Афраний писал(а)
"поисковый робот должен уважать robots.txt"

бОльшая часть их не такова *pardon* ... без бана их через htaccess не утихомириваются" *pardon* ... притом хостер кивает "это ваша проблема, а не наша" *crazy* *wall* *pardon* ...
Я в курсе, Артём Гавриченков про это рассказывает.

www.youtube.com/watch?v=et7eTx0-IGg
FreeCat
27.08.2019
я не по чужом, я по своему опыту сужу ;-) ...
Sl@sh
25.08.2019
загуглить аббревиатуру WAF и купить себе по бюджету.
Sl@sh писал(а)
WAF
Загуглил. Web Application Firewall. Технология, которую реализуют 100500 компаний, начиная от QRator и заканчивая самосборами на коленке.

Бюджет? Ну могу выделить 100 рублей на месяц или 1000 на год. Больше не могу, извини. Предлагаешь переместить VDS к себе домой, а перед ним наколхозить и поставить ещё одну железку в режиме обратного прокси?
Раз денег жалко, займись тогда оптимизацией:
* для web настрой кеширование, чтобы crawling боты меньше грузили исполнение скриптов и БД.
*для ssh подумать над разными мерами, в дополнение к перевешиванию на другой порт. Например можно отключить, запуская кроном по расписанию, подойдёт если ты не торчишь там круглосуточно. Например если ты ковыряешься только после семи вечера, то и запускать после семи по расписанию.
Более хитро*опый вариант: написать небольшой веб интерфейс, где после аутентификации нажимаешь кнопку, которая создаёт файл /tmp/enable_ssh, а фоновый скрипт на баше следит за появлением этого файла и запускает ssh сервер. После чего можно логиниться обычным ssh клиентом. По окончании работы файл удалить, ssh сервер остановить (можно тоже автоматизировать).
Конечно жалко! Я же в данном случае не на дядю работаю, а на себя. Мне этой VDS для разработки хватало за глаза, а обходится она 200 рублей в месяц.
firstvds.ru/products/vds_vps_hosting
VDS Start с виртуализацией KVM

ssh сейчас работает в режиме белого списка: на файрволле разрешены 2 адреса, все остальные дропаются. Можешь сам попробовать.

Ботам я прописывал только пару сайтов без PHP - чистый html, так что там и нагрузки-то нет. Ну ещё форум и вики.

Самое основное: код я пишу в Far Manager, благо он умеет работать с файлами по sftp и понимает utf8 - так что по факту торчу я там фактически круглосуточно.

Ну и... Кажется, мои методы работают. Если я захожу на VDS и там высокий load average - я просто обновляю скриптом бан-лист. Часа на 4 хватает.
Афраний писал(а)
я просто обновляю скриптом бан-лист. Часа на 4 хватает.

Да настрой просто fail2ban: три неудачные попытки в течение пяти минут - бан на месяц.

Самое основное: код я пишу в Far Manager, благо он умеет работать с файлами по sftp и понимает utf8 - так что по факту торчу я там фактически круглосуточно.

А что так сурово? Такой вариант хорош разве что когда надо по-быстрому что-то пофиксить в коде или конфигах. А кодить удобней нормально, то есть локально. А уже на сервер заливать заведомо рабочий код, через Git, например (как вариант push to deploy настроить в гите).
1. А как быть с локальными серификатами? Самоподписанные использовать?
2. Проект - приложение ВК и использует его функции по крайней мере для идентификации. Проще уже написанные функции использовать, чем заглушки писать.
3. Far-у всё равно, как кодить, локально или нет.
Файлы html, css, js, php, sql создаются нормально, подсветка синтаксиса работает.
Оффтоп, но кажется, мою маленькую VDS реально приняли за какой-то крупный корпоративный сервер :-)

По крайней мере в логах одного из сайтов уж очень интересные GET-запросы.
Нет, это происходит со всеми серверами. Проверяют на уязвимости любой сервер, торчащий наружу. Сперва пытаются выяснить что там за сервис запущен, проверяя доступность специфичных для разных CMS и прочих сервисов URL'ов. Этот мусор в access.log есть в логах абсолютно любого web сервера.
Это плохо. Такими темпами их проверка надолго затянется, а движков там кроме вики и форума - никаких.
Впрочем, судя по логам, до вики и форума они ещё не добрались.
Такими темпами их проверка надолго затянется,

Это будет бесконечно от разных ботов. Смирись.

На вот аналогичное из одного из моих серверов:

На втором скриншоте URL'ы рабочие (парсили стриницы), но к урлам они добавили дополнительные параметры, как видно, ищут SQL injection уязвимости.
Понял, спасибо.

Хотя странно. Сервак нормально работает уже года два, а обратили на него внимание только сейчас.
Забыл сказать про ещё один маленький плюс по сравнению с локальным кодингом: актуальная сборка постоянно лежит в одном месте и работать с ней можно отовсюду.

Не, можно дома поднять виртуалку и коннектиться к ней с работы или из съёмной квартиры по RDP, например. Но вариант с Far во многом проще.
Ну, когда в проекте дофига файлов то уже неудобно. Так-то пару файлов поредактировать может и ок.

актуальная сборка постоянно лежит в одном месте и работать с ней можно отовсюду

Открой для себя Git уже :-D
Давно открыл. Это всё-таки не совсем то.

Эх, в своё время был хороший HTML-редактор NVU.
Помимо всего прочего в нём была кнопочка "Опубликовать".

Мне её сейчас так не хватает в Eclipse... Хотя одно время практиковал VPN до сервера и SMB-шару на нём.

P.S. А зачем в проекте до фига файлов? Понимаю, если это картинки.
А так обычно как раз 2-3 файла и редактируешь.
P.S. А зачем в проекте до фига файлов? Понимаю, если это картинки.
А так обычно как раз 2-3 файла и редактируешь.

Эм... ну сколько нибудь средненький проект это десятки исполнимых файлов (скриптов). Вот пример на скриншоте это очень небольшой кусок дерева проекта.

Давно открыл. Это всё-таки не совсем то.

Вполне себе то. Один из вариантов workflow, годный для небольшого проекта: основную репу держишь на сервере клонируешь оттуда на рабочую машину работаешь локально с кодом, тестишь локально git commit git push (изменения отправляются на сервер).
BrainFucker писал(а)
Эм... ну сколько нибудь средненький проект это десятки исполнимых файлов (скриптов).
Так кто же их заставляет редактировать все одновременно? Я, например, сейчас отлаживаю функции запросов, пытаясь их стандартизировать и унифицировать. Правлю два файла: файл запросов и файл SQL.
Закончу - буду править JS-скрипты, которые будут получать эти данные через AJAX и выводить их в HTML-формы. Тоже править 2-3 файла.
Бывает приходится переключаться между вкладками редактора туда сюда.
Нет ничего сложного в том, чтобы выделить и скопировать в буфер обмена текст, закрыть один файл, открыть другой и вставить фрагмент из буфера.

Ну и напомню: коллбэки ВК как-то плохо ходят на локалхост, да и браузер ругается или на самоподписанный сертификат, или вообще на отсутствующий.

Хотя, конечно, в будущем я это учту и буду писать сначала на локалхосте, а уж потом прикручивать авторизацию.
Нет ничего сложного в том, чтобы выделить и скопировать в буфер обмена текст, закрыть один файл, открыть другой и вставить фрагмент из буфера.

Нет уж, я лучше по удобному :-D
Оно, кстати, в большинстве случаев не для копипастинга, а например, посматривать в другие функции/классы, код же зачастую взаимосвязан. А то и бывает что одновременно пару файлов редактируешь.
Ничего не мешает открыть другой файл на втором мониторе, например.
И даже с одним монитором Alt+Tab никто не отменял. Всё равно надо переключаться между браузером и редактором.
Вкладки редактора и дерево проекта сбоку всё равно удобнее. Не говоря уж о том что в IDE куча других удобств, например подсказки где подсвеченная функция был объявлена.
Не спорю, просто для меня сейчас это не особо принципиально.

Оффтоп, но вот по проекту я вопрос задал - до сих пор почему-то никто не откликнулся.
www.nn.ru/community/techno/tech/chto_luchshe_php_ili_sql.html
Sl@sh
25.08.2019
у фествдса есть защита от ддос, и стоит, емнип, вменяемо.
ну и ссх в инет не нужно выставлять.
но если денег совсем нет, остается только держаться.
Sl@sh писал(а)
у фествдса есть защита от ддос, и стоит, емнип, вменяемо.
И я её куплю сразу же, как только проект выйдет в продакшн.
Sl@sh писал(а)
ну и ссх в инет не нужно выставлять.
Читаем внимательно, можем даже попытаться подключиться...
Sl@sh писал(а)
но если денег совсем нет, остается только держаться.
Ага. Или применять свои знания.
Sl@sh
25.08.2019
судя по теме твои знания тебе не помогли ))
Помогли знания тех, кто откликнулся на мою просьбу о помощи. Ты в это число не входишь.

Ты сюда зачем зашёл, ЧСВ покачать? Или показать, что у тебя денег немеряно?
Sl@sh
25.08.2019
ты совет спросил, я ответил, а ты меня троллить попытался.
так советы помогли или "они реально интерес потеряли"?
Ещё раз: заказывать "Роллс-Ройс" для нужд перевозки одного хомячка считаю нецелесообразным.

Проект частный, делается силами одного человека. Фактически с нулевым бюджетом.

Пока не потеряли, периодически возвращаются и пробуют обращаться к несуществующим ресурсам. Написал PHP-скрипт, который распознаёт ботов и даёт им отлуп.

Пока так...
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем
Последние темы форумов
Материнские платы на запчасти и не только

Материнские платы на запчасти и не только Материнские платы и другие комплектующие Отправка в регионы после оплаты. Транспортной...
Цена: 3 000 руб.

Принтер лазерный Avision AP30A

Avision AP30A лазерный принтер черно-белая печать формат A4, 33 стр/мин, 128 Мб, дуплекс, лоток 250 листов и многоцелевой лоток с...
Цена: 9 900 руб.

Дорого куплю новые картриджи от лазерных и струйных

РЕАЛЬНО Дорого куплю новые картриджи от лазерных и струйных принтеров и копиров (НР, Canon, Samsung, Xerox, OCE и др.) всех моделей....
Цена: 7 777 руб.

Продаю факс (ы) Panasonic– FT932/982

Продаю факс (ы) Panasonic– FT932/982: термоперенос, термобумага, А4
Цена: 350 руб.