Apache ohrožen novým nástrojem

Dalsi duvod pro pridavani lighttpd pred apache jako reverzni proxy…

Hele, nedal bys mi dns zaznam „porucha.osob­nosti.cz“?

Hodně mě štve, že takovéto prográmky vznikají, na druhou stranu ale ukazují na bezpečnostní díry, takže v důsledku je to vlastně dobře. Doufám, že s tím něco tvůrci Apache udělají.

Neudělají, není k tomu důvod.

Taky jsem kdysi podobny programek napsal, kdyz jsem vedl cviceni z administrace Unixu. Jsem psychopat. Pustil jsem to na server nainstalovany studentem a nechal studenta, aby se tomu ubranil.

v te dobe uz to prednasel Leo ?

Jo. Leo prednasel dve skupiny, ja jednu. Naposledy jsem to prednasel pred dvema lety.

Už vím, proč se na VŠ cítím divně. Jestli tam přednášejí psychopati, tak bůh s námi. No, já stejně svůj názor i přednášejícímu s plnou vervou sdělím. A musí si to vyslechnout ;).

ono to není nic nového. bylo jen otázkou času, než s tím někdo přišel. holt se bude muset předělat mpm_worker a mpm_prefork (a pochopitelně i oblíbený mpm_itk) nebo se bude ořezávat počet aktivních spojení. event tímhle neduhem netrpí, neb má jinou koncepci správy spojení.

A byl byste prosim tak laskav a uvedl, jake volby poladit, aby se utok nezdaril?

Apache nevim (jde na nem sice omezit pocet klientu … ale to omezi i ty legitimni klienty). OpenBSD firewall jde nastavit tak, ze ma omezen pocet spojeni z jedne adresy. Tato obrana funguje, pokud utocnik pouzije jeden pocitac nebo malou sit. Pokud nekdo pouzije botnet s milionem pocitacu, pak uz neni snadne se tomu ubranit.

pokud nekdo pouzije botnet s milionem uzivatelu, tak neni potreba zadny nastroj, ale jen prochazet web standardni cestou.

Ja pouzivam modul mod_limitipconn na omezeni poctu spojeni z jedne IP adresy. Ono jinak stacilo kdyz nejakej debil „chytre“ pustil rekurzivni stahovani, na to neni potreba psat extra program, silet z toho tady a jeste to tam marketingove podat ;)

Ahoj, nevite prosim, jak nainstalovat ten modul limitpconn na debiana do apache2? v repozitari ho nemuzu najit.. mam lennyho. Dedkuju pekne:)

Tak jsem to vazeni zkusil a mod_limitpconn proste ten apache zahlti.. nechal jsem u nej defaultni nastaveni 10 spojeni z jedne IP.. slowloris to polozil… takze tudy cesta nevede..

Ale Apache JE nastaven defaultně tak, že limituje maximálně 2 aktivní spojení z jedné IP adresy, nebo ne?

Není :-) Takže je třeba výše uvedeného modulu…

již nějakou dobu mě srali spameři, kteří nám posílali kvanta spamů odkazující na čínské stránky s viagrou a podobnýma sračkama. jen tak ze srandy sem jim tam pustil tuhle blbinku a už půl hodiny se nemůžu dostat na jejich stránky. muhehehehe :]

zeby konecne odpoved na spam? :-)

no hlanvě jestli nejsi jedinej kdo se tam nemůže dostat :D

+1 muhehe :)

:) to nevím. nicméně mé bohulibé snahy byli nakonec zhaceny naším firewallem, který mě po nějaké době odstříhnul, říkajíce něco o překročení limitu otevřených spojení :[

Viagra je proti poruse erekce … skoda, ze neni nejaka droga proti poruse osobnosti.

Na FreeBSD tomuto utoku dokaze castecne zabranit accept filter accf_http (kernel module) + vhodne nastaveni PF firewallu