Новая тема   Ответить

 firesorm
Суть проблемы:
сканируют дедик на предмет phpmyadmin, eshop, по ssh. Подбирают пароли, от нагрузки на сервер падает апач.

Как защититься?

 netzoner
Как вариант, проксировать через nginx. Где выставить лимиты на скорость\кол-во соединений с одного айпи. Ну или в htaccess, через директиву <Limit> указать свои айпи. Для ssh - поставь его на порт, отличный от 22.

 Ado.Blogs
Оффтопик: не пожалей $50-100, найми грамотного админа, иначе я х.з. как, если с никсами не "на ты"

 firesorm
netzoner писал:

А можно подробнее про nginx?

Админы на хостинге вроде неплохие. На данный момент все левые урлы (по которым сканят) закрыты через nginx. ssh порт сменен.

Но этого недостаточно. Все равно сканят, что-то падает. Как-то жалко брать дедик мощнее, при том что моего мне с головой хватает (LA около 0.5).

Поясните как можно лимитировать количество запросов, чтобы реальных юзеров не отсечь, а ботов банить?

 bb-support
От сканов ssh можно настроить утилиты авто-бана фаерволом после N-неудачных попыток,либо закрыть доступ по IP фаерволом, это надёжнее и удобнее переноса порта с 22.
От сканов на пхпадмин и т.д. тут действительно nginx поможет, через хтакксесс безполезно закрывать, ботам и так 404\403 отдаётся когда урл-а нет, оно падает из-за большого кол-ва конектов, а через .htaccess всё равно эти конекты сначала принимает, а потом только отдаёт ошибку.

P.S.
вообще как-то странно, что из-за сканов на несуществующие урлы у вас часто падает дедик, может дело не в этом?

 Soft-Com
Скорее всего падает апач от того, что несуществующие урлы обрабатываются правилами хтаксеса, и редиректятся на скрипты, а скрипты уже грузят сервер. Так что проблема все-таки в скриптах (мускле) скорее всего.

 X-dream
Оффтопик: мне админы вообше никаких панелеи не ставили. не цпанел не пхпмыадмин , говорят дырявые все эти панели...

 Mr.[R]
Была такая же проблема, когда появилась бага в phpmyadmin сканили с китайских ip, хоть ни его ни апача нет,а стоит один nginx, так что просто забанили всю подсеть.

 firesorm
Soft-Com писал:

И в чем может быть проблема в мускуле?

Дедик -
Pentium(R) 4 CPU 3.00GHz
4G RAM
2x250G SATA

 firesorm
Mr.[R] писал:

Админы банят. Но айпи все время разные. Разные сети совершенно.

 shako
доступ на ssh разреши с определенных ИП с других руби фиревалом
phpmyadmin с дефолтового адреса перенеси на какойнибуть другой адрес, и для суровости доступ к форме логина в него - тоже закрой паролем в хтаксесе
а на обычном месте phpmyadmin повесь статическую хтмл с приветствием

 Soft-Com
firesorm писал:

в чем угодно.
Апач работает с каким мпм?
в каком режиме пхп?
какие скрипты?
как обрабатывается 404/403 ошибка?

 goodlover
Подождите, а разве что-то может падать при LA 0.5, или это при отсутствии такого ддоса низкое LA?

 Stek
Цитата:
Коннекшены к апачу через SYN flood забивают, сервер не отвечает, а LA низкое.

Вообще для дедика /VPS обычно делаю следующее:
- apache только на 127.0.0.1 , снаружи nginx/lighttpd
- ssh на другой порт
- фтп отключается, вся работа ftp over ssh , это любой современный клиент позволяет.
- днс по возможности с регистранта, даже удобнее
- почта на gmail , локально нафиг нужна.