Forum

Centos Ip Problemi
 
Bildirimler
Hepsini Temizle

Centos Ip Problemi

8 Yazılar
3 Üyeler
0 Reactions
567 Görüntüleme
(@hasanozturk)
Gönderiler: 8
Active Member
Konu başlatıcı
 

Merhaba degerli arkadaşlar centos sanal sunucu üzerinde apache kullanarak web yayını yapmaktayım. siteme gelen saldırıları cloudflare kullanarak başarılı bir şekilde engelleyebiliyorum. fakat bazı uyanık arkadaşlar sitemin ip adresini bulup cloudflareyi bypass ediyorlar. direkt ip üzerinden saldırı aldıgımda herhangi bir koruma olmadıgı için server offline oluyor. bu konuda iki sorum olacak;

 

1 - siteye girişleri sadece domain üzerinden yapıp ip adresini erişime kapamak mümkünmü ? 

2 -  sitemin ip adresini sitede konulara yada profil resmi vs resim eklenebilen herhangi bir yere resim ekleyip, daha sonra bu resmin server kayıtlarına bakarak buluyorlar. bu bypass yöntemini engellemek mümkünmü ? bypass için kullanılan örnek script aşagıdadır. bu konuda degerli yorumlarınızı bekliyorum.

 

 #####.htaccess#####

 );font-size: 12px;font-family: verdana, geneva, lucida, 'lucida grande', arial, helvetica, sans-serif;border: 1px inset;margin-top: 0px;margin-bottom: 0px;padding: 6px;width: 640px;height: 290px;overflow: auto;background-position: 0% 0%;background-repeat: repeat no-repeat">RewriteEngine On
RewriteRule ^xd.gif$ bypass.php [nc]
#####.htaccess#####
~~~~~~~~~~~~~~~~~~~~
#####bypass.php#####
<?
$fichier = fopen('liste.txt','a');
$date= date("H:i d-m-Y");
$ip=$_SERVER['REMOTE_ADDR'];
fwrite($fichier,$date." [".$ip."]\r\n");
fclose($fichier);
header('Content-Type: image/jpeg');
$img = imagecreatefromjpeg("test.jpg") ;
imagejpeg($img);
?> 
 
Gönderildi : 02/04/2014 19:31

(@hasanozturk)
Gönderiler: 8
Active Member
Konu başlatıcı
 

arkadaşlar konu günceldir, acil yardıma ihtiyacım var. sanırım  http://94.73.146.150/ natronun ki gibi bir uyarı koymak çok zor birşey degildir ? bu konuda tecrübesi olan birileri lütfen yardımda bulunsun.

 
Gönderildi : 03/04/2014 17:01

(@kayhankayihan)
Gönderiler: 854
Noble Member
 

IP adresini subdomain ve NS kayıtlarına bakarakta bulabilirler. Resimle bulmak şart değil.

Gelen saldırıyı pcap formatında tcpdump ile alın ve inceleyin, sonrasında buna çözüm bulmaya çalışın derim.

Aksi taktirde her zaman kapı kapalı olsa da bacayı bulacak birileri olur.

 
Gönderildi : 03/04/2014 17:38

(@hasanozturk)
Gönderiler: 8
Active Member
Konu başlatıcı
 

hocam cloudflare kullandıgım için sub domain ve ns kayıtlarından ip bulamıyorlar. şu an sadece bu resim yöntemiyle cloudflare bypass edilebiliyor. ip adresini bulmaları sorun degil, buldukları ip adresi direk sitemi açıyor sorun bu. bu ip adresine saldıklarında cloudflare sadece domain üzerinden koruma sagladıgı için devre dışı kalıyor ve mysql aşırı istege cevap veremeyip kilitleniyor. bir önceki mesajımda verdigim ip adresi natro ya ait, bende sitemin ip adresinden erişilmeye çalışıldıgında siteme degilde farklı bir sayfaya yönlensin istiyorum. en azından saldırıda mysql sorgularının önüne geçmiş olurum.

 
Gönderildi : 03/04/2014 18:42

(@GokhanMANKARA)
Gönderiler: 123
Estimable Member
 

Panel kullanmadığınızı varsayarak, httpd.conf dosyasındaki virtualhost kısmını ip adresinize göre aşağıdakine benzer düzenlemeniz gerekiyor. default klasörünün altında index.html oluşturarak, istediğiniz şeyi yapabilirsiniz. Örnek  aşağıdaki gibi.

http://httpd.apache.org/docs/current/vhosts/examples.html

 

<VirtualHost 10.10.10.10:80>
    ServerName 10.10.10.10
    DocumentRoot /var/www/html/defaut
    ServerAdmin [email protected]
</VirtualHost>

 
Gönderildi : 03/04/2014 20:07

(@hasanozturk)
Gönderiler: 8
Active Member
Konu başlatıcı
 

hocam verdiginiz bilgiler dahilinde degişiklik yapmayı denedigimde serverde bulunan sitemde bu degişiklikten etkilendi. degişiklik sonrasında ip adresi /var/www/html/defaut içerisindeki dosyayı açıyor, fakat domainde kendine ayrılan documentrootu degilde, iple aynı olan /var/www/html/defaut dosyalarını gösteriyor.

 
Gönderildi : 03/04/2014 20:32

(@hasanozturk)
Gönderiler: 8
Active Member
Konu başlatıcı
 

hocam sahte iplerle saldırıyorlar rastgele portlara istek gönderiyorlar portlar açık olmasada bu istekler sonucu site kilitleniyor. sanırım sunucu üzerinden hping aracıyla saldırıyorlar.

 
Gönderildi : 04/04/2014 19:45

(@kayhankayihan)
Gönderiler: 854
Noble Member
 

hocam cloudflare kullandıgım için sub domain ve ns kayıtlarından ip bulamıyorlar. şu an sadece bu resim yöntemiyle cloudflare bypass edilebiliyor. ip adresini bulmaları sorun degil, buldukları ip adresi direk sitemi açıyor sorun bu. bu ip adresine saldıklarında cloudflare sadece domain üzerinden koruma sagladıgı için devre dışı kalıyor ve mysql aşırı istege cevap veremeyip kilitleniyor. bir önceki mesajımda verdigim ip adresi natro ya ait, bende sitemin ip adresinden erişilmeye çalışıldıgında siteme degilde farklı bir sayfaya yönlensin istiyorum. en azından saldırıda mysql sorgularının önüne geçmiş olurum.

mail.xxx.com adresi nereyi gösteriyor? mail gibi farklı adreslerde olabilir..

Kişisel tavsiyem,

1- site için ayrı bir dizin aç ve sitendeki tüm dosyaları buraya taşı,

2- IP adresi ile size ziyaret edildiğinde default sayfa açılsın ve bu safya aracılığı ile gelen isteklerin IP adreslerini alarak sistemde IPtables ile engelle.

 

Bu işlemde biraz kaynak gerektirir ancak saldırıyı etkisiz hale getirecektir düşüncesindeyim.

Apache tarafında connection limit, çalışan process, connection time out süresi gibi değişkenleride düzenlemek fayda sağlayacaktır.

 

 
Gönderildi : 07/04/2014 00:35

Paylaş: