avatar_orogastus

Как защититься от ДДоС и ламеров досеров

Автор orogastus, 2015 Янв. 17, 14:16

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Ключевые слова [SEO] защитаддосламеры

orogastus

Как бороться с ламерами ддосерами.

Значит, вас задосили. Вы себя херово чуствуете. Вы хотите убить ДДоСера который уничтожил ваш проеткт. Не проблема!!

Нам понадобится ...

* Логи ддоса
* мИРЦ // не обезательно
* IRIS Sniffer
* Пару сплойтов
* Ну у мазги нах!


И так, у вас есть логи. Скажем с них ты выдрал IPшники: 231.32.32.211, 4.5.6.7, 6.7.8.9, 12.13.14.15, 23.24.25.26. Окей. Не проблема. Теперь у нас есть 50/50 шанс того что эти машины были зомбированы с помощью любого бота типа пхатБот, ериксБот и другие кул-хацкерские боты.

Значит нам прежде всего нужны сплойты для LSASS, PnP, DCOM135, DCASS . Их можно найти на секлабе - securitylab

Прежде всего, мы берем эти IP и поочереди проверяем их на дырявость сплойтами. Если вам удалось войти в систему - считайте что Вы уже уничтожили пол-кулхакера. Теперь нам надо поставить rAdmin или любую другую тулузу remote administrating. Поставили, запустили и готово.

Теперь вам надо подключится рАдмином к машине, и дождатся полного затишья на ней. Тоесть что бы там никого не было. После чего вызовите Task Manager и посмотрите на подозрительные проги типа ezkiyeq.exe , svcroot.exe, update001.exe, winupdt0.exe etc...

Найдите этот файл. Скопируйте к себе и плюньте на ту тачку. Теперь вам надо будет протроянить самих себя. Вам нужен будет IRIS Sniffer. Запускайте сниффер, выставляйте снифф-фильтр на слова USER IRC SERVER NICK IDENT 6667 и активируйте сниффер. После чего запускайте трой и следите за сниффом. Он вам скажет что происходит - куда трой коннектится, на какой канал заходит.

Впринципе этой инфы достаточно что бы отрапортавать ФБР, или ФСБ. Просто напишите им письмо.. После чего сеть пропадет.

Для извратов, попробуйте подключится к серверу юзая мирку и зайти на тот канал. Если его mode не +m, то вам повезло smile.gif Главное изначально прикинутся ботом. Ждите комманд от ботовода. Когда он пошлет что то типа .login mylamepassword, набирите тоже самое и наберите .remove smile.gif
. - место . может быть ! @ # $ % ^ & * ( ) ` etc ...

Главное юзайте прокси. .remove уничтожит весь его ботнет (ботовода).

Установка mod_evasive и mod_dosevasive

# wget http://www.zdziarski.com/projects/mo..._1.10.1.tar.gz
# tar -xzvf mod_evasive_1.10.1.tar.gz
# cd mod_evasive

# /usr/local/apache/bin/apxs -i -a -c mod_evasive.c
# /etc/init.d/httpd restart


Редактирование конфига апача

# vi /usr/local/apache/conf/httpd.conf

-------------------------------------------------
<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
</IfModule>
-------------------------------------------------


Перезапуск вэбсервера

# /etc/init.d/httpd restart


Оптимизация конфига httpd.conf

# vi /usr/local/apache/conf/httpd.conf

исправить значения у оригинала

MaxKeepAliveRequests 50 (100)
KeepAliveTimeout 60 (30)

после этого отредактировать значения

Timeout
KeepAliv
MinSpareServers
MaxSpareServers
MaxClients

Timeout луче поставить 15

у кого APF можно поставить мини скрипт защиты от ддос
# wget http://www.inetbase.com/scripts/ddos/install.sh
# sh install.sh
не забудте добавить его в крон
кто не знает
# crontab -e
*/5 * * * * /usr/local/ddos/ddos.sh >/dev/null 2>&1



и наконец
ручная блокировка )))
поиск айпишек
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
и их блок
# iptables -I INPUT -s АЙПИАДРЕС -j DROP
# service iptables save
# service iptables restart

и блок в APF
# vi /etc/apf/deny_hosts.rules
<Add the IPs at the end>

# service apf restart
© nulled.ws