Re: DoS - O que fazer?
Em 06/05/07, Davi<[EMAIL PROTECTED]> escreveu: > > Como marinheiro de primeira viagem, aceito qualquer sugestão... =] > A sugestão é que você leia o básico[0] que já deveria ter lido quando pensou em ser responsável por um servidor. [0] http://cartilha.cert.br/ -- Júnio José Software, serviços e consultoria: http://www.sintectus.com GNU/Linux: http://www.debian.org Eu: http://junio.unidados.com.br
Re: DoS - O que fazer?
Manda um log do apache.. bom, vc poderia comecar bloqueando o ip que ta acessando no iptables direto.. para o servico, restringe acesso no proprio apache.. posta mais detalhes.. assim fica complicado.. posta logs entre outros.. == Bruno César Weck Gerente de Suporte Talklink Comunicação de Dados 0xx19 3522 8310 0xx19 8181 0255 == -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: DoS - O que fazer?
Em Domingo 06 Maio 2007 22:07, Marcos Lazarini escreveu: > Em 06/05/07, Davi<[EMAIL PROTECTED]> escreveu: > > Boa noite a todos. > > Estou sendo vítima, desde as 10:30 de hoje, de um DoS. > > > > O que eu devo fazer nessa situação? > > Os ataques estão vindo via apache... > > > > #top > > top - 18:35:06 up 3:03, 5 users, load average: 79.14, 62.70, 36.19 > > Tasks: 247 total, 67 running, 180 sleeping, 0 stopped, 0 zombie > > Cpu(s): 0.6% us, 99.1% sy, 0.0% ni, 0.0% id, 0.0% wa, 0.0% hi, 0.3% > > si Mem: 1017404k total, 1008204k used, 9200k free, 368k > > buffers Swap: 987956k total, 987956k used,0k free, 4568k > > cached > > > > Como marinheiro de primeira viagem, aceito qualquer sugestão... =] > > Amigo, realmente é dificil lidar com isso não há uma regra pronta, > mas o que o cara quer é q vc pare o serviço atingido - que vc não > disse qual é. Na emergência vc pode derrubar o serviço, mas se puder > contornar é melhor - ex: se o foco do ataque é o PHP, gere as páginas > estáticas; se for o mysql, reduza a base de dados; e assim por diante. > A idéia é que o serviço continue operando, mesmo que em nível reduzido > de funções... > > Boa sorte e depois manda umas dicas aqui p/ lista da experiência (que > ninguem quer passar) :-) Eu não faço a menor idéia de onde estavam indo os ataques... =\ Eu sei que estavam indo no Apache... Mais nada... =\ No final das contas, apenas parei o Apache e esperei as coisas voltarem ao normal... /var/log/apache2/access_log não tem _nada_ de útil... Durante o ataque tentei, sem muito êxito, usar o lsof... Mas meus conhecimentos de lsof + ps + awk são limitados demais para emergências como essa... A solução era óbvia e fácil: verificar onde as requisições estavam batendo e suspender o domínio alvo. Mas tudo isso via terminal, uma vez que o painel de controle (Plesk) estava inacessível. Agradeço a atenção! =] []s -- Davi Vidal [EMAIL PROTECTED] [EMAIL PROTECTED] -- "Religion, ideology, resources, land, spite, love or "just because"... No matter how pathetic the reason, it's enough to start a war. " pgpVQN15lDwhX.pgp Description: PGP signature
Re: DoS - O que fazer?
Em 06/05/07, Davi<[EMAIL PROTECTED]> escreveu: Boa noite a todos. Estou sendo vítima, desde as 10:30 de hoje, de um DoS. O que eu devo fazer nessa situação? Os ataques estão vindo via apache... #top top - 18:35:06 up 3:03, 5 users, load average: 79.14, 62.70, 36.19 Tasks: 247 total, 67 running, 180 sleeping, 0 stopped, 0 zombie Cpu(s): 0.6% us, 99.1% sy, 0.0% ni, 0.0% id, 0.0% wa, 0.0% hi, 0.3% si Mem: 1017404k total, 1008204k used, 9200k free, 368k buffers Swap: 987956k total, 987956k used,0k free, 4568k cached Como marinheiro de primeira viagem, aceito qualquer sugestão... =] Amigo, realmente é dificil lidar com isso não há uma regra pronta, mas o que o cara quer é q vc pare o serviço atingido - que vc não disse qual é. Na emergência vc pode derrubar o serviço, mas se puder contornar é melhor - ex: se o foco do ataque é o PHP, gere as páginas estáticas; se for o mysql, reduza a base de dados; e assim por diante. A idéia é que o serviço continue operando, mesmo que em nível reduzido de funções... Boa sorte e depois manda umas dicas aqui p/ lista da experiência (que ninguem quer passar) :-) -- Marcos
Re: DoS - O que fazer?
Olá. Vc consegue ver nas log's da onde vem o ataque ? É um IP especifico ou vários IP's dentro de um range. Se for um Ip especifico a solução mais simples é bloquear no firewall o IP e em seguida consultar no http://registro.br quem é o dono do IP, pegar o e-mail do responsável daquele Ip e por fim escrever um e-mail para ele com copia para o cert [EMAIL PROTECTED] informando do ataque para seja tomadas providencias, é bom anexar logs, em: http://www.cert.br/docs/faq1.html#4 tem maiores informações. Apenas lembrando que o cert cuida apenas de Ip's do Brasil At+ Oéslei. Em 06/05/07, Davi <[EMAIL PROTECTED]> escreveu: Boa noite a todos. Estou sendo vítima, desde as 10:30 de hoje, de um DoS. O que eu devo fazer nessa situação? Os ataques estão vindo via apache... #top top - 18:35:06 up 3:03, 5 users, load average: 79.14, 62.70, 36.19 Tasks: 247 total, 67 running, 180 sleeping, 0 stopped, 0 zombie Cpu(s): 0.6% us, 99.1% sy, 0.0% ni, 0.0% id, 0.0% wa, 0.0% hi, 0.3%si Mem: 1017404k total, 1008204k used, 9200k free, 368k buffers Swap: 987956k total, 987956k used,0k free, 4568k cached Como marinheiro de primeira viagem, aceito qualquer sugestão... =] Obrigado! =D []s -- Davi Vidal [EMAIL PROTECTED] [EMAIL PROTECTED] -- "Religion, ideology, resources, land, spite, love or "just because"... No matter how pathetic the reason, it's enough to start a war. "
DoS - O que fazer?
Boa noite a todos. Estou sendo vítima, desde as 10:30 de hoje, de um DoS. O que eu devo fazer nessa situação? Os ataques estão vindo via apache... #top top - 18:35:06 up 3:03, 5 users, load average: 79.14, 62.70, 36.19 Tasks: 247 total, 67 running, 180 sleeping, 0 stopped, 0 zombie Cpu(s): 0.6% us, 99.1% sy, 0.0% ni, 0.0% id, 0.0% wa, 0.0% hi, 0.3% si Mem: 1017404k total, 1008204k used, 9200k free, 368k buffers Swap: 987956k total, 987956k used,0k free, 4568k cached Como marinheiro de primeira viagem, aceito qualquer sugestão... =] Obrigado! =D []s -- Davi Vidal [EMAIL PROTECTED] [EMAIL PROTECTED] -- "Religion, ideology, resources, land, spite, love or "just because"... No matter how pathetic the reason, it's enough to start a war. " pgpg6brDwDGfZ.pgp Description: PGP signature