Хабрахабр / Комментарии к посту «Slow Lori атака на веб-сервер Apache» в блоге «Информационная безопасность»

28.06.2009 19:28:12 g3ar

g3ar — Sun, 28 Jun 2009 19:28:12 GMT

вот меня поражают люди, которые ставят минус и никак его не коментируют =/

27.06.2009 21:03:02 g3ar

g3ar — Sat, 27 Jun 2009 21:03:02 GMT

Данный тип атаки был обнародован специалистом по безопасности RSnake

как политкорректно нынче называют хакеров XD

27.06.2009 06:01:45 mkevac

mkevac — Sat, 27 Jun 2009 06:01:45 GMT

Конечно! Именно для этого я писал пост.

27.06.2009 05:21:25 jandosul

jandosul — Sat, 27 Jun 2009 05:21:25 GMT

ВикиМедии
commons.wikimedia.org/wiki/File:Slow_Loris_Female.jpg

26.06.2009 21:53:52 k0t_igrun

k0t_igrun — Fri, 26 Jun 2009 21:53:52 GMT

да да. это я заработался =)

26.06.2009 21:43:49 morg0th

morg0th — Fri, 26 Jun 2009 21:43:49 GMT

скромная pr-реклама nginx?

26.06.2009 19:50:09 Sherman81

Sherman81 — Fri, 26 Jun 2009 19:50:09 GMT

Так точно, поэтому у нас, например, обычный start-stop-daemon в обвязке с gentoo script :-)

26.06.2009 19:31:22 Dimster

Dimster — Fri, 26 Jun 2009 19:31:22 GMT

Внимательно присмотревшись понял, что там рука, повернутая ладонью вверх и от камеры.

26.06.2009 19:13:02 borisko

borisko — Fri, 26 Jun 2009 19:13:02 GMT

Странно, нас такой фигней пытались валить еще в прошлом году. Nginx, как всегда, помог.

26.06.2009 19:12:34 borisko

borisko — Fri, 26 Jun 2009 19:12:34 GMT

Может быть nginx? :)

26.06.2009 15:03:31 kolpeex

kolpeex — Fri, 26 Jun 2009 15:03:31 GMT

руга

26.06.2009 14:26:30 mcm69

mcm69 — Fri, 26 Jun 2009 14:26:30 GMT

Да, уже вижу. Ступил :-)

26.06.2009 14:12:51 k0t_igrun

k0t_igrun — Fri, 26 Jun 2009 14:12:51 GMT

была почти такая же ситуация. только не хакеры ддосили, а региональные пользователи с модемами ходили.

поставили апач на фронтэнд и нагрузка на сервера упала.

26.06.2009 12:40:15 alrond

alrond — Fri, 26 Jun 2009 12:40:15 GMT

в нгинкс-варианте не должно быть пробела между ^ и /:

rewrite ^/(en|de)/album/(.+?)/(.+?)/(.*)$ /album.php?cn=$1&albid=$2&albname=$3&$4 last;

26.06.2009 12:38:36 alrond

alrond — Fri, 26 Jun 2009 12:38:36 GMT

там не сложно переписать:
1) надо в нгинксовой версии добавить слеши в начале
2) RewriteRule заменить на rewrite
3) [L] заменить на last;

Пример апача:

RewriteRule  ^(en|de)/album/(.+?)/(.+?)/(.*)$ album.php?cn=$1&albid=$2&albname=$3&$4 [L]

нгинкс

rewrite ^ /(en|de)/album/(.+?)/(.+?)/(.*)$ /album.php?cn=$1&albid=$2&albname=$3&$4 last;

26.06.2009 11:52:36 mvs

mvs — Fri, 26 Jun 2009 11:52:36 GMT

* redmine.lighttpd.net/projects/spawn-fcgi

26.06.2009 11:51:38 mvs

mvs — Fri, 26 Jun 2009 11:51:38 GMT

Приятная новость: 3 месяца назад spawn-fcgi формально отделился от lighttpd в отдельный проект: redmine.lighttpd.net/projects/spawn-fcg. И выпущено уже 3 minor-релиза.

26.06.2009 11:46:40 mvs

mvs — Fri, 26 Jun 2009 11:46:40 GMT

Пробовал 3 года назад на Apache-1.3 модуль, писавший в access_log только что поступившее соединение, не дожидаясь его завершения; удобно было для отслеживания скачивания больших файлов.
Однако названия модуля уже не вспомню, увы.

26.06.2009 11:33:49 darkk

darkk — Fri, 26 Jun 2009 11:33:49 GMT

Да, согласен полностью, php-fpm — хороший, нужный проект.

26.06.2009 11:27:55 david_mz

david_mz — Fri, 26 Jun 2009 11:27:55 GMT

Есть ещё патч php-fpm — по возможностям гораздо более интересный. Я лично его использзую, доволен.

26.06.2009 11:20:11 vortex7

vortex7 — Fri, 26 Jun 2009 11:20:11 GMT

оффтопик: красавица (я про животное) :)

26.06.2009 11:11:20 maxlapshin

maxlapshin — Fri, 26 Jun 2009 11:11:20 GMT

дело в том, что обычно nginx ставят там, где не захотят =)

26.06.2009 11:11:02 maxlapshin

maxlapshin — Fri, 26 Jun 2009 11:11:02 GMT

в мускль скоро научится.
Насчет лдапа неясно, потому что для этого нужен асинхронный клиент.

26.06.2009 11:10:24 maxlapshin

maxlapshin — Fri, 26 Jun 2009 11:10:24 GMT

Вот не влезал в неё, но знаю что на ней кучу сайтов запустил, а на штатном механизме они постоянно отваливаются.

26.06.2009 11:06:21 darkk

darkk — Fri, 26 Jun 2009 11:06:21 GMT

Ну возможности ограничения у него тоже не очень широкие. В LDAP он за паролями точно не полезет :-)

26.06.2009 11:05:30 darkk

darkk — Fri, 26 Jun 2009 11:05:30 GMT

При том, что сама spawn'илка не делает ровным счётом ничего полезного и почти полностью полагается на штатный механизм PHP.
Это меня и удивляет.

26.06.2009 11:04:47 maxcom

maxcom — Fri, 26 Jun 2009 11:04:47 GMT

Netfilter поможет.

Что касается NAT, то надо просто лимит не слишком маленький ставить, чтобы не мешало нормальной работе. А при атаке лучше пусть сетка за NAT отключится, чем вообще весь апач

26.06.2009 11:04:00 mkevac

mkevac — Fri, 26 Jun 2009 11:04:00 GMT

habrahabr.ru/blogs/infosecurity/62980/#comment_1743685

Но на самом деле это ведь не обязательная функция. Захотел администратор — значит будем дергать. Не включал эту функцию — не будем дергать.

26.06.2009 11:02:48 mkevac

mkevac — Fri, 26 Jun 2009 11:02:48 GMT

Понял. Вы про файлик .htaccess на диске.
Я почему-то подумал про ограничение доступа вообще, в том числе те что в httpd.conf.

26.06.2009 11:02:24 maxlapshin

maxlapshin — Fri, 26 Jun 2009 11:02:24 GMT

Потому что встроенный механизм в php отваливается, а этот работает.
При чем тут start-stop-daemon то?

26.06.2009 11:01:40 maxlapshin

maxlapshin — Fri, 26 Jun 2009 11:01:40 GMT

Безумно долго на каждом запросе ходить к каждой папке на файловой системе и проверять .htaccess

26.06.2009 11:00:34 Pilat

Pilat — Fri, 26 Jun 2009 11:00:34 GMT

тем более в случае с nginx понятие «директория» не такое простое как в апаче.

26.06.2009 11:00:07 darkk

darkk — Fri, 26 Jun 2009 11:00:07 GMT

en.wikipedia.org/wiki/Kernelspace_web_server

26.06.2009 10:59:52 darkk

darkk — Fri, 26 Jun 2009 10:59:52 GMT

На каждый запрос дёргать N директорий (где N — уровень вложенности) на наличие и/или изменение .htaccess?

26.06.2009 10:58:55 darkk

darkk — Fri, 26 Jun 2009 10:58:55 GMT

Никогда не понимал, почему на неё будто молятся и ставят ради неё пакет лайти в добавок к nginx. Она же довольно тупая и по возможностям не отличается принципиально от штатного start-stop-daemon.

Хоть хабратопик в духе разрушителей мифов пиши :-)

26.06.2009 10:57:23 mkevac

mkevac — Fri, 26 Jun 2009 10:57:23 GMT

Почему?

26.06.2009 10:56:44 mkevac

mkevac — Fri, 26 Jun 2009 10:56:44 GMT

Увы, не все так просто. Существующие модули для ограничения соединений работают не на том уровне обработки запроса.
Более того, ограничением по IP вы порежете сети, которые сидят за NAT-ом.

26.06.2009 10:55:37 maxlapshin

maxlapshin — Fri, 26 Jun 2009 10:55:37 GMT

Причем не имеет by design. Их эффективно не реализовать.

26.06.2009 10:55:21 maxlapshin

maxlapshin — Fri, 26 Jun 2009 10:55:21 GMT

Ну да, там есть для php запускалка. Штатная от php нестабильна и падает.

26.06.2009 10:54:48 maxlapshin

maxlapshin — Fri, 26 Jun 2009 10:54:48 GMT

Штука, поднимающая рельсы и поддерживающая нужное количество воркеров.