mar
13-07-2011, 15:09
Добрый день,
Имеется выделенный сервер на FreeBSD 8 ветки в конфигурации: nginx (как frontend для обработки статики), Apache/2.2.15+mod_php(5.3.2), mysql
вчера вечером (после 18 ч) сервер (именно сервер целиком, а не только web) перестал отвечать на запросы; проходил только ping.
При этом ночью (с 3 до 5), по словам провайдера, была зафиксирована сетевая нагрузка до 20 Мб/с
Утром провайдер перезагрузил сервер.
В логах апача обнаружился вот такой запрос:
xxx.xxx.xxx.xxx - - [12/Jul/2011:18:14:25 +0400] "GET /строка_запроса_поиска
HT^@^@^@^@^@^@^@^@^@^@ и дальше порядка 3 тысяч вот этих самых ^@
после чего лог обрывается
т.е. очень похоже, что таким способом не только завалмвается апач, но перестает дышать вся система (что вообще-то странно).
Сталкивался ли кто-нибудь с подобным, и что можно сделать для предотвращения таких вещей?
update:
Судя по всему, вчерашняя дыра описана:
тут (http://www.h-online.com/open/news/item/Another-DoS-fix-for-Apache-HTTP-server-1247712.html)
и тут (http://www.xf-russia.ru/forum/threads/%D0%9D%D0%BE%D0%B2%D1%8B%D0%B9-%D1%80%D0%B5%D0%BB%D0%B8%D0%B7-apache-http-server-%D0%B8%D1%81%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D1%8F%D0%B5%D1%82-%D1%81%D0%B5%D1%80%D1%8C%D0%B5%D0%B7%D0%BD%D1%83%D1%8E-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8.1202/)
апач проапгрейден до актуальной версии Apache/2.2.19 в которой дыра закрыта
ну и на вский случай
включено
LimitRequestBody
и собран ModSecurity
Имеется выделенный сервер на FreeBSD 8 ветки в конфигурации: nginx (как frontend для обработки статики), Apache/2.2.15+mod_php(5.3.2), mysql
вчера вечером (после 18 ч) сервер (именно сервер целиком, а не только web) перестал отвечать на запросы; проходил только ping.
При этом ночью (с 3 до 5), по словам провайдера, была зафиксирована сетевая нагрузка до 20 Мб/с
Утром провайдер перезагрузил сервер.
В логах апача обнаружился вот такой запрос:
xxx.xxx.xxx.xxx - - [12/Jul/2011:18:14:25 +0400] "GET /строка_запроса_поиска
HT^@^@^@^@^@^@^@^@^@^@ и дальше порядка 3 тысяч вот этих самых ^@
после чего лог обрывается
т.е. очень похоже, что таким способом не только завалмвается апач, но перестает дышать вся система (что вообще-то странно).
Сталкивался ли кто-нибудь с подобным, и что можно сделать для предотвращения таких вещей?
update:
Судя по всему, вчерашняя дыра описана:
тут (http://www.h-online.com/open/news/item/Another-DoS-fix-for-Apache-HTTP-server-1247712.html)
и тут (http://www.xf-russia.ru/forum/threads/%D0%9D%D0%BE%D0%B2%D1%8B%D0%B9-%D1%80%D0%B5%D0%BB%D0%B8%D0%B7-apache-http-server-%D0%B8%D1%81%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D1%8F%D0%B5%D1%82-%D1%81%D0%B5%D1%80%D1%8C%D0%B5%D0%B7%D0%BD%D1%83%D1%8E-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8.1202/)
апач проапгрейден до актуальной версии Apache/2.2.19 в которой дыра закрыта
ну и на вский случай
включено
LimitRequestBody
и собран ModSecurity