On Wed, Feb 08, 2006 at 11:09:47AM +0100, bieniu gras wrote: > Witaj lista!
Hej! > ktos w 3 wormach internetowych umiescil w kodzie moja domene > www.wena.net do ktorej lacza sie zarazone komputery i proboja pobierac: Ale ktos mial wene... Przyjmij moje wyrazy wspolczucia ;) > oczywiscie rezultat jest taki ze tysiace komputerkow zarazonych chce > te pliki a moj serwer www odpowiada bledem 404 A moze zamiast serwowac komunikat bledu 40x moglbys udostepniac te wlasnie pliki o zerowej dlugosci? ;) Na pewno zmniejszyloby to ruch w sieci. > czy znacie jakas mozliwosc jeszcze jakby nad tym ddosem wormowym > zapanowac ??? > > probowalem w httpd.conf: > > <Location /ddd.jpg> > Deny from all > ErrorDocument 403 http://localhost > </Location> O ile wiem, w linijce z ErrorDocument zamiast adresu mozesz tez uzyc jakiegos napisu, np. "Pocaluj mnie w nos!" ;) Bedzie mial wprawdzie wiecej niz 0 bajtow, ale lepsze to niz komunikat bledu 40x. > moze probowac na firewallu iptablesami i stringiem ??? tak zeby > przeuszczac wszystko oprocz get ddd.jpg q.jpg i tego my photo.zip ??? Jesli do Twojego Apache'a w ogole nie maja dochodzic zapytania o te pliki, a to wydaje sie byc najlepszym rozwiazaniem, to trzeba je wycinac gdzies "wczesniej", byc moze na firewallu. Niestety az taki biegly w iptables to ja nie jestem. > cos w stylu: > > iptables -t mangle -N apache > iptables -t mangle -A apache -j ACCEPT > iptables -t mangle -A INPUT -m recent --name apache --update --seconds > 60 --rdest -j apache > iptables -t mangle -A INPUT -m string --string "GET ddd.jpg" -m > recent --name apache --rsource --set -j apache > iptables -t mangle -A INPUT -m string --string "GET /ddd.jpg" -j DROP > > drop ? reject ?? jak, moze ktos podpowiedziec ???? A dziala zarowno DROP, jak i REJECT? Ja bym wybral REJECT, bo szybciej zakonczy polaczenie z klientem. > jeden kolega mowil tez o DNS balance w takich wypadkach ... > albo jakies przekierowanie www.wena.net na www1.wena.net ??? hm A co bedzie pod www1.wena.net? Pozdrawiam, P. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
