Всея ПЫХА
epsyl
adw0rd
Мавр
ГО
Irinax
Дек 08
2008полезное. вкусное. linux shell.
Рубрики: (ddos, nginx, php, Утилиты) Автор: phpdude 08-12-2008
Теги : ddos, http flood, iptables, nginx, php, защита от ddos
привет. в борьбе с ддосом мне пригодились знания шелла, давно я этим анонизмом не занимался 
мб кому пригодится
cat nginx.access_log | awk ‘/^(.*?) / {print ($1)}’ > /root/ddos/ips
такая незатейливая командочка вытащит из файла nginx.access_log имеющего формат заполнения
94.31.169.103 – - [06/Dec/2008:06:36:16 +0500] «GET /engine/skins/images/line_bg.gif HTTP/1.1″ 304 0 «http://l2rusoff.net/admin.php» «Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.3) Gecko/2008092417 AdCentriaIM/1.7 Firefox/3.0.3 WebMoney Advisor»
94.31.169.103 – - [06/Dec/2008:06:36:16 +0500] «GET /engine/skins/images/line.gif HTTP/1.1″ 304 0 «http://l2rusoff.net/admin.php» «Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.3) Gecko/2008092417 AdCentriaIM/1.7 Firefox/3.0.3 WebMoney Advisor»
94.31.169.103 – - [06/Dec/2008:06:36:16 +0500] «GET /engine/skins/images/tb_lb.gif HTTP/1.1″ 304 0 «http://l2rusoff.net/admin.php» «Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.3) Gecko/2008092417 AdCentriaIM/1.7 Firefox/3.0.3 WebMoney Advisor»
94.31.169.103 – - [06/Dec/2008:06:36:16 +0500] «GET /engine/skins/images/tb_tb.gif HTTP/1.1″ 304 0 «http://l2rusoff.net/admin.php» «Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.3) Gecko/2008092417 AdCentriaIM/1.7 Firefox/3.0.3 WebMoney Advisor»
94.31.169.103 – - [06/Dec/2008:06:36:16 +0500] «GET /engine/skins/images/tb_rb.gif HTTP/1.1″ 304 0 «http://l2rusoff.net/admin.php» «Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.3) Gecko/2008092417 AdCentriaIM/1.7 Firefox/3.0.3 WebMoney Advisor»
217.118.66.106 – - [06/Dec/2008:06:36:22 +0500] «GET /forum/showthread.php?t=455&page=7 HTTP/1.1″ 200 20670 «http://l2rusoff.net/forum/showthread.php?t=455&page=6″ «Opera/9.50 (Windows NT 5.1; U; ru)»
66.249.65.101 – - [06/Dec/2008:06:36:43 +0500] «GET /forum/post_thanks.php?do=findthanks_user_gave&u=322 HTTP/1.1″ 200 5402 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)»
66.249.65.101 – - [06/Dec/2008:06:36:45 +0500] «GET /forum/showthread.php?p=1280 HTTP/1.1″ 200 5999 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)»
66.249.65.101 – - [06/Dec/2008:06:37:03 +0500] «GET /forum/search.php?do=finduser&userid=12&searchthreadid=354 HTTP/1.1″ 302 0 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)»
66.249.65.101 – - [06/Dec/2008:06:37:03 +0500] «GET /forum/search.php?searchid=4247 HTTP/1.1″ 200 6193 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)»
она вытащит все ip адреса внучале каждой строки и запишет их в файл /root/dos/ips.
$banned = `/sbin/iptables -nL`;
preg_match_all(«#^DROP\\s+all\\s+\\-\\-\\s+(.*?)\\s#ism»,$banned,$banned);
$banned = array_combine($banned[1],array_fill(0,count($banned[1]),1));
такая незатейливая комаанда вытащит списочек забаненых ип адресов из настроек файрволла.
вот такая командочка
if(`ps ax | grep manager.php|awk «{print (\\$5)}»| grep php | wc -l`>1)
{
return;
}
проверит сколько запущено копий пхп скрипта который сейчас выполняется. используется чтобы не запустить с десяток скриптов
перечисленные вкусняшки могут быть использованы для защиты сервера от http flood.
доброй ночи. пошел выпью ящик пива и спать
О САЙТЕ
ебать калатить …. Шгёшь …
Прикольный блог, в день по 2-3 темки, есть то ,что даже интересно почитать =)
а обычный ограничивающий модуль?
вот вспомнил, чувак настраивал PF
http://www.lissyara.su/?id=1602
борьба с ддос на уровне апача – моветон
а как насчет pf? прокомментируйте нижнюю часть той статьи
у меня чуток интереснее. на меня была http flood атака. син и исмп просто похуй были) а вот хттп это пиздец. ибо стоял дле у друга + пидорски отпрограммленный в гавно какое то, он при загрузке обращался к 4ем заддосеным серверам(наши другие), в итоге все это дело тупо стояло на месте)))))))
я сделал скрипт, который по логам апача(там только пхп логи, статику нгинкс отдает) анализирует кто прихуевает
и в бан кладет на минуту. вроде бы работает еще скрипт то 
7.245.193.7 2008.12.09 06:26:21 – released from ban
87.245.193.8 2008.12.09 06:26:21 – released from ban
89.169.150.228 2008.12.09 06:26:21 – released from ban
87.229.162.97 2008.12.09 06:26:21 – released from ban
71.173.1.85 2008.12.09 06:26:21 – released from ban
195.58.0.65 2008.12.09 06:26:21 – released from ban
81.222.64.10 2008.12.09 06:26:21 – released from ban
87.250.231.33 2008.12.09 06:26:21 – released from ban
72.30.87.121 2008.12.09 06:26:21 – released from ban
82.193.155.232 2008.12.09 06:26:21 – released from ban
217.174.98.237 2008.12.09 06:26:21 – released from ban
80.77.88.201 2008.12.09 06:26:21 – released from ban
67.195.37.99 2008.12.09 06:26:21 – released from ban
194.186.55.206 2008.12.09 06:26:21 – released from ban
88.212.202.26 2008.12.09 06:26:21 – released from ban
195.210.57.83 2008.12.09 06:26:21 – released from ban
77.45.253.43 2008.12.09 06:26:21 – released from ban
66.249.65.101 2008.12.09 06:26:21 – released from ban
85.21.143.132 2008.12.09 07:32:01 – added to ban
85.21.143.132 2008.12.09 07:33:07 – released from ban
90.150.139.178 2008.12.09 08:56:01 – added to ban
90.150.139.178 2008.12.09 08:57:07 – released from ban
88.212.202.26 2008.12.09 13:22:27 – added to ban
88.212.202.26 2008.12.09 13:23:33 – released from ban
85.117.156.11 2008.12.09 15:26:01 – added to ban
85.117.156.11 2008.12.09 15:27:07 – released from ban
85.117.156.11 2008.12.09 15:32:01 – added to ban
85.117.156.11 2008.12.09 15:33:07 – released from ban
212.42.75.47 2008.12.09 18:30:01 – added to ban
212.42.75.47 2008.12.09 18:31:07 – released from ban
213.160.143.117 2008.12.09 20:24:01 – added to ban
213.160.143.117 2008.12.09 20:25:07 – released from ban
213.160.143.117 2008.12.09 20:25:38 – added to ban
213.160.143.117 2008.12.09 20:27:02 – released from ban