DDOS POST Запросами

Question

[Vladimir Gorobets]

На NGINX с разных IP идет куча запросов такого вида:
72.252.31.22 — - [23/Aug/2011:07:16:00 +0300] «POST / HTTP/1.0» 503 212 «google.com/» «Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)»

Сайт, который атакуют, пришлось потушить, но серверу легче не стало. Познания в админстве у меня практически нулевые, а админ на море.

Может кто сможет помочь советом, как отбиться?

Answer 1

[Sergey]

Самый простой наколенный способ — парсить лог и заносить банлист в ipset.
Можно купить услугу у qrator или у каспера, например.

Answer 2

[itrabotnik]

у вас какая структура
nginx+php
nginx+apache+php?
вместо php можно вставить любой другой язык.
Пишите, постараемся помочь

Answer 3

[Vladimir Gorobets]

>nginx+apache+php
только помогать уже нечему, хостер отключил VPS До прекращения атаки :(

Comments

[Sergey]

Ну теперь или тупо ждать (получается, атака достигла цели) или вставать под защиту.

[itrabotnik]

DNS домена, который атакует где находятся?

[itrabotnik]

*которого атакуют

[Vladimir Gorobets]

>Наша защита стоит: 100 евро подключение и 100 евро/месяц абонплата за каждый сайт.
Дороговато для городского сайта с 1,5К посетителей в день. Я на нем столько не зарабатываю :(

[Sergey]

Ну так и просчитывают необходимость, если дешевле лечь, то ложатся, если дешевле защищаться (или хотя бы в ноль), то защищаются. Ваш случай — первый, получается.

[charon]

IP сервера меняли? Ну и в ДНС тоже для сайтов записи.

Answer 4

[Vladimir Gorobets]

помогите написать скрипт внесения IP ботов в iptables
есть файл со списком IP. Каждый IP на новой строке.
пример

94.54.35.148
203.168.168.58
189.18.50.99
189.130.45.3
200.49.191.30
121.133.121.170

есть скрипт

#!/bin/bash

BANIP=`cat /usr/local/etc/ban/bot.log`

for ip in $BANIP
do
  echo 'iptables -I INPUT -p tcp -s  $ip --dport 80 -j DROP'
  if [ "$1" == "apply" ]; then
    /sbin/iptables -D INPUT -p tcp -s $ip --dport 80 -j DROP
    /sbin/iptables -I INPUT -p tcp -s $ip --dport 80 -j DROP
  fi
done

только из-за того, что после IP стоит перенос строки получается не совсем то, что нужно:

--dport 80 -j DROPp tcp -s 200.2.141.115
 --dport 80 -j DROPp tcp -s 208.95.113.193
 --dport 80 -j DROPp tcp -s 59.52.94.233
 --dport 80 -j DROPp tcp -s 189.139.138.223

Comments

[VBart]

это ничего страшного, просто echo не красиво вам показывает
вы можете избавиться от перевода если записать echo в таком виде:

echo 'iptables -I INPUT -p tcp -s' $ip '--dport 80 -j DROP'

[VBart]

баш автоматически триммирует параметры (удаляет по краям табуляцию, пробелы и переводы строк), если конечно те не заключены в кавычки