Forum
Bildirimler
Hepsini Temizle
Linux & Unix
8
Yazılar
3
Üyeler
0
Reactions
556
Görüntüleme
Konu başlatıcı
Merhaba degerli arkadaşlar centos sanal sunucu üzerinde apache kullanarak web yayını yapmaktayım. siteme gelen saldırıları cloudflare kullanarak başarılı bir şekilde engelleyebiliyorum. fakat bazı uyanık arkadaşlar sitemin ip adresini bulup cloudflareyi bypass ediyorlar. direkt ip üzerinden saldırı aldıgımda herhangi bir koruma olmadıgı için server offline oluyor. bu konuda iki sorum olacak;
1 - siteye girişleri sadece domain üzerinden yapıp ip adresini erişime kapamak mümkünmü ?
2 - sitemin ip adresini sitede konulara yada profil resmi vs resim eklenebilen herhangi bir yere resim ekleyip, daha sonra bu resmin server kayıtlarına bakarak buluyorlar. bu bypass yöntemini engellemek mümkünmü ? bypass için kullanılan örnek script aşagıdadır. bu konuda degerli yorumlarınızı bekliyorum.
#####.htaccess#####
);font-size: 12px;font-family: verdana, geneva, lucida, 'lucida grande', arial, helvetica, sans-serif;border: 1px inset;margin-top: 0px;margin-bottom: 0px;padding: 6px;width: 640px;height: 290px;overflow: auto;background-position: 0% 0%;background-repeat: repeat no-repeat">RewriteEngine On RewriteRule ^xd.gif$ bypass.php [nc] #####.htaccess##### ~~~~~~~~~~~~~~~~~~~~ #####bypass.php##### <? $fichier = fopen('liste.txt','a'); $date= date("H:i d-m-Y"); $ip=$_SERVER['REMOTE_ADDR']; fwrite($fichier,$date." [".$ip."]\r\n"); fclose($fichier); header('Content-Type: image/jpeg'); $img = imagecreatefromjpeg("test.jpg") ; imagejpeg($img); ?>
Gönderildi : 02/04/2014 19:31
Konu başlatıcı
arkadaşlar konu günceldir, acil yardıma ihtiyacım var. sanırım http://94.73.146.150/ natronun ki gibi bir uyarı koymak çok zor birşey degildir ? bu konuda tecrübesi olan birileri lütfen yardımda bulunsun.
Gönderildi : 03/04/2014 17:01
IP adresini subdomain ve NS kayıtlarına bakarakta bulabilirler. Resimle bulmak şart değil.
Gelen saldırıyı pcap formatında tcpdump ile alın ve inceleyin, sonrasında buna çözüm bulmaya çalışın derim.
Aksi taktirde her zaman kapı kapalı olsa da bacayı bulacak birileri olur.
Gönderildi : 03/04/2014 17:38
Konu başlatıcı
hocam cloudflare kullandıgım için sub domain ve ns kayıtlarından ip bulamıyorlar. şu an sadece bu resim yöntemiyle cloudflare bypass edilebiliyor. ip adresini bulmaları sorun degil, buldukları ip adresi direk sitemi açıyor sorun bu. bu ip adresine saldıklarında cloudflare sadece domain üzerinden koruma sagladıgı için devre dışı kalıyor ve mysql aşırı istege cevap veremeyip kilitleniyor. bir önceki mesajımda verdigim ip adresi natro ya ait, bende sitemin ip adresinden erişilmeye çalışıldıgında siteme degilde farklı bir sayfaya yönlensin istiyorum. en azından saldırıda mysql sorgularının önüne geçmiş olurum.
Gönderildi : 03/04/2014 18:42
Panel kullanmadığınızı varsayarak, httpd.conf dosyasındaki virtualhost kısmını ip adresinize göre aşağıdakine benzer düzenlemeniz gerekiyor. default klasörünün altında index.html oluşturarak, istediğiniz şeyi yapabilirsiniz. Örnek aşağıdaki gibi.
http://httpd.apache.org/docs/current/vhosts/examples.html
<VirtualHost 10.10.10.10:80>
ServerName 10.10.10.10
DocumentRoot /var/www/html/defaut
ServerAdmin [email protected]
</VirtualHost>
Gönderildi : 03/04/2014 20:07
Konu başlatıcı
hocam verdiginiz bilgiler dahilinde degişiklik yapmayı denedigimde serverde bulunan sitemde bu degişiklikten etkilendi. degişiklik sonrasında ip adresi /var/www/html/defaut içerisindeki dosyayı açıyor, fakat domainde kendine ayrılan documentrootu degilde, iple aynı olan /var/www/html/defaut dosyalarını gösteriyor.
Gönderildi : 03/04/2014 20:32
Konu başlatıcı
hocam sahte iplerle saldırıyorlar rastgele portlara istek gönderiyorlar portlar açık olmasada bu istekler sonucu site kilitleniyor. sanırım sunucu üzerinden hping aracıyla saldırıyorlar.
Gönderildi : 04/04/2014 19:45
hocam cloudflare kullandıgım için sub domain ve ns kayıtlarından ip bulamıyorlar. şu an sadece bu resim yöntemiyle cloudflare bypass edilebiliyor. ip adresini bulmaları sorun degil, buldukları ip adresi direk sitemi açıyor sorun bu. bu ip adresine saldıklarında cloudflare sadece domain üzerinden koruma sagladıgı için devre dışı kalıyor ve mysql aşırı istege cevap veremeyip kilitleniyor. bir önceki mesajımda verdigim ip adresi natro ya ait, bende sitemin ip adresinden erişilmeye çalışıldıgında siteme degilde farklı bir sayfaya yönlensin istiyorum. en azından saldırıda mysql sorgularının önüne geçmiş olurum.
mail.xxx.com adresi nereyi gösteriyor? mail gibi farklı adreslerde olabilir..
Kişisel tavsiyem,
1- site için ayrı bir dizin aç ve sitendeki tüm dosyaları buraya taşı,
2- IP adresi ile size ziyaret edildiğinde default sayfa açılsın ve bu safya aracılığı ile gelen isteklerin IP adreslerini alarak sistemde IPtables ile engelle.
Bu işlemde biraz kaynak gerektirir ancak saldırıyı etkisiz hale getirecektir düşüncesindeyim.
Apache tarafında connection limit, çalışan process, connection time out süresi gibi değişkenleride düzenlemek fayda sağlayacaktır.
Gönderildi : 07/04/2014 00:35
