Apache ohrožen novým nástrojem

25. 6. 2009

26 nových názorů

Na slovenském serveru linuxos.sk se objevila informace o nebezpečí, které číhá na web server Apache. Nedávno spatřila světlo světa aplikace Slowloris, která je schopna bombardovat web server neúplnými požadavky, což mu znemožní zavřít spojení. Náchylný na útok není jen Apache, ale krom jiných webserverů také proxy server Squid.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

25. 6. 2009 15:56

edois (neregistrovaný)

Dalsi duvod pro pridavani lighttpd pred apache jako reverzni proxy…
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 17:03

BLEK. (neregistrovaný)

Hele, nedal bys mi dns zaznam „porucha.osobnosti.cz“?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 16:17

Libor Šedivý

Hodně mě štve, že takovéto prográmky vznikají, na druhou stranu ale ukazují na bezpečnostní díry, takže v důsledku je to vlastně dobře. Doufám, že s tím něco tvůrci Apache udělají.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 16:35

. (neregistrovaný)

Neudělají, není k tomu důvod.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 17:02

BLEK. (neregistrovaný)

Taky jsem kdysi podobny programek napsal, kdyz jsem vedl cviceni z administrace Unixu. Jsem psychopat. Pustil jsem to na server nainstalovany studentem a nechal studenta, aby se tomu ubranil.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 18:06

Marex (neregistrovaný)

v te dobe uz to prednasel Leo ?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 20:47

BLEK. (neregistrovaný)

Jo. Leo prednasel dve skupiny, ja jednu. Naposledy jsem to prednasel pred dvema lety.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
29. 6. 2009 0:06

Libor Šedivý

Už vím, proč se na VŠ cítím divně. Jestli tam přednášejí psychopati, tak bůh s námi. No, já stejně svůj názor i přednášejícímu s plnou vervou sdělím. A musí si to vyslechnout ;).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 16:57

majkls (neregistrovaný)

ono to není nic nového. bylo jen otázkou času, než s tím někdo přišel. holt se bude muset předělat mpm_worker a mpm_prefork (a pochopitelně i oblíbený mpm_itk) nebo se bude ořezávat počet aktivních spojení. event tímhle neduhem netrpí, neb má jinou koncepci správy spojení.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 20:18

Harvie .cz

vtip je v tom, ze slowloris je jenom zpopularizovana implementace DoS utoku znameho a zneuzivaneho uz roky a Apache se da nastavit tak, aby takovym utokum vice ci mene spolehlive celil.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 20:37

vandrovnik

A byl byste prosim tak laskav a uvedl, jake volby poladit, aby se utok nezdaril?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 20:54

BLEK. (neregistrovaný)

Apache nevim (jde na nem sice omezit pocet klientu … ale to omezi i ty legitimni klienty). OpenBSD firewall jde nastavit tak, ze ma omezen pocet spojeni z jedne adresy. Tato obrana funguje, pokud utocnik pouzije jeden pocitac nebo malou sit. Pokud nekdo pouzije botnet s milionem pocitacu, pak uz neni snadne se tomu ubranit.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 6. 2009 23:09

festr (neregistrovaný)

pokud nekdo pouzije botnet s milionem uzivatelu, tak neni potreba zadny nastroj, ale jen prochazet web standardni cestou.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 8:04

PVL (neregistrovaný)

Ja pouzivam modul mod_limitipconn na omezeni poctu spojeni z jedne IP adresy. Ono jinak stacilo kdyz nejakej debil „chytre“ pustil rekurzivni stahovani, na to neni potreba psat extra program, silet z toho tady a jeste to tam marketingove podat ;)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 9:47

Nuty (neregistrovaný)

Ahoj, nevite prosim, jak nainstalovat ten modul limitpconn na debiana do apache2? v repozitari ho nemuzu najit.. mam lennyho. Dedkuju pekne:)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 14:48

Nuty (neregistrovaný)

Tak jsem to vazeni zkusil a mod_limitpconn proste ten apache zahlti.. nechal jsem u nej defaultni nastaveni 10 spojeni z jedne IP.. slowloris to polozil… takze tudy cesta nevede..
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 15:09

Pavel Říha

Mozna mas pravdu. On ten modul funguje asi az na estabilish spojeni, protoze do logu pak pise i URL a referer tech co odmita. Zatimco ten slowloris ty spojeni asi ani nevytvori, jen zacne.

Pak je na to treba ochrana na urovni FW, jak uz tu taky nekdo zminil.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 10:59

zzz (neregistrovaný)

Ale Apache JE nastaven defaultně tak, že limituje maximálně 2 aktivní spojení z jedné IP adresy, nebo ne?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 11:03

zzz (neregistrovaný)

Není :-) Takže je třeba výše uvedeného modulu…
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 9:40

hlína (neregistrovaný)

již nějakou dobu mě srali spameři, kteří nám posílali kvanta spamů odkazující na čínské stránky s viagrou a podobnýma sračkama. jen tak ze srandy sem jim tam pustil tuhle blbinku a už půl hodiny se nemůžu dostat na jejich stránky. muhehehehe :]
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 10:45

aaa (neregistrovaný)

zeby konecne odpoved na spam? :-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 11:15

Me (neregistrovaný)

no hlanvě jestli nejsi jedinej kdo se tam nemůže dostat :D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 11:20

xobot (neregistrovaný)

+1 muhehe :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 12:53

hlína (neregistrovaný)

:) to nevím. nicméně mé bohulibé snahy byli nakonec zhaceny naším firewallem, který mě po nějaké době odstříhnul, říkajíce něco o překročení limitu otevřených spojení :[
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 11:33

BLEK. (neregistrovaný)

Viagra je proti poruse erekce … skoda, ze neni nejaka droga proti poruse osobnosti.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 6. 2009 13:18

Q (neregistrovaný)

Na FreeBSD tomuto utoku dokaze castecne zabranit accept filter accf_http (kernel module) + vhodne nastaveni PF firewallu

Zasílat nově přidané názory e-mailem