-------------
|
|
Botnet Saldırılarında Apacheyi ayakta tutmak yada tutamamak
- Konbuyu başlatan Elazığlı168
- Başlangıç tarihi
yukarda botların banlanmasına en yakın şey htaccesse eklenen kodlardır onun haricinde iptables yada firewalla ilgili ekstra bir şey yapmadım şu an saldırı hala gelmekte ve siteler açık
resimde apache statusun görüntüsü var zombilerden gelen writing,reply isteklerini gösteriyor
botçu ismi lazım olmayan ufak bir arkadaş kendisiyle görüştük msnde bir türlü adresini vermek istemedi
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} "Microsoft URL Control"
RewriteRule ^(.*)$ http://www.saldiraninsitesi.com/
htaccess e bunu ekle, saldırı ona dönsün.
RewriteCond %{HTTP_USER_AGENT} "Microsoft URL Control"
RewriteRule ^(.*)$ http://www.saldiraninsitesi.com/
htaccess e bunu ekle, saldırı ona dönsün.
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} "Microsoft URL Control"
RewriteRule ^(.*)$ http://www.saldiraninsitesinibilmiyorum.com/
olarak kullanabilirim ancak
RewriteCond %{HTTP_USER_AGENT} "Microsoft URL Control"
RewriteRule ^(.*)$ http://www.saldiraninsitesinibilmiyorum.com/
olarak kullanabilirim ancak
Tanıdığım Bildiğim O Kadar Çok İnsan Bunu Denedi ki Anlatamam.
Ama Henüz Tam Anlamıyla Bir Başarı Elde Edebilmiş Kimseyide Göremedim Ne Yazıkki.
2008 yılı içinde savcılığa botnet saldırısı alan bir çok servis sağlayıcısı dilekçe verdi 2007de de bu dilekçeler verilmişti 2008 de bu sayı arttı ama hala 2007 de dilekçe verenler bile bi çözüme ulaşmadı zombi pclerin incelenip botnet servere ulaşılması çok zor geliyor demek
MSN den durumu kabul etti ise ne yapabiliriz.
Ss alacak isek bildiğim kadarı ile resimler delil olarak sayılmaz imiş.
Üzerinde oynama yapılan kanıtlar yani.
eğer serveri çalıntı cc ile almamışsa yada heklediği bir serveri botnet server yapmadıysa ( ki ikisinden birini yapmıştır) kendi sitelerini barındırdığı bir serverse bu servis sağlayıcıdan her türlü bilgisine ulaşılabilir ama botnet işine giren adamda bu kadar amatör davranmaz
Bir kaç şey daha ekliyim
komutuyla apacheye gelen istek sayısı ( kullanıcı sayısı ) nı görebilirsiniz abartılı bir şekilde 1500-2000 gibi rakamlar çıkıyorsa botnettir ve 1500-2000 botla yapılan bir saldırıysa denemedim ama aşağıdaki işlemlerle saldıran ipleri iptablesten banlayabilirsiniz iptables 2000 ipe kadar banlama yapabilir
ilk önce root ssh ile bağlanarak
cd ..
cd tmp
komutlarıyla tmp dizinine gidin
nano ban
komutuyla tmp içinde ipler diye bir dosya oluşturun
netstat -an komutu ile bağlantı açan ipleri görüp syn açan ipleri kopyalayıp not defterinde düzenleyip
11.11.111.11
22.22.222.22
33.3.333.333
şeklinde düzenleyerek tmp içinde oluşturduğunuz ipler dosyası içine yazılır ve alttaki komut çalıştırılarak bu ipler banlanmış olur
böylelilkle sunucumuz 3-4 k bota kadar dayanacaktır ( teorik olarak ) daha fazlasında yine gümleyebilir
Botnet saldırı alan arkadaşlara ücretsiz olarak destek verebilirim ( ilk etapta keşif amaçlı )
Önemli dipnot: Çoğu arkadaşımız saldırı geldiğinde ssh ye falan giremessinki falan diyebilir çok çeşitli botnet saldırıları var zamanında aldığım bir saldırıda microsof url control adındaki botlar siteye giriyordu hattı 40 mbite fırlatıp sunucuya erişimi tamamen engelliyordu yukardaki htaccess kodundan sonra bu saldırı serveri etkilememeye başladı ardından farklı bir saldırı geldi mrtg 0 landı çünkü bu sefer apache gümlemişti ancak diğer servisler çalışıyordu işte böyle bir saldırıda sshden rahatça gelen istekleri görüp rahat rahat dediklerimi yapabilirsiniz ben uygulayacaktım ama saldırı kesildi şansıma deneyemedim bunu haricinde makineye ulaşamıyorsanız reboot paneliniz varsa ordan yada dc ile iletişime geçerek reboot attırıp sunucu açılır açılmaz makina fail olmadan apacheyi durdurup işlemleri yapabilirsiniz biraz hızlı olmaya bakıyor dediklerim
komutuyla apacheye gelen istek sayısı ( kullanıcı sayısı ) nı görebilirsiniz abartılı bir şekilde 1500-2000 gibi rakamlar çıkıyorsa botnettir ve 1500-2000 botla yapılan bir saldırıysa denemedim ama aşağıdaki işlemlerle saldıran ipleri iptablesten banlayabilirsiniz iptables 2000 ipe kadar banlama yapabilir
ilk önce root ssh ile bağlanarak
cd ..
cd tmp
komutlarıyla tmp dizinine gidin
nano ban
komutuyla tmp içinde ipler diye bir dosya oluşturun
netstat -an komutu ile bağlantı açan ipleri görüp syn açan ipleri kopyalayıp not defterinde düzenleyip
11.11.111.11
22.22.222.22
33.3.333.333
şeklinde düzenleyerek tmp içinde oluşturduğunuz ipler dosyası içine yazılır ve alttaki komut çalıştırılarak bu ipler banlanmış olur
böylelilkle sunucumuz 3-4 k bota kadar dayanacaktır ( teorik olarak ) daha fazlasında yine gümleyebilir
Botnet saldırı alan arkadaşlara ücretsiz olarak destek verebilirim ( ilk etapta keşif amaçlı )
Önemli dipnot: Çoğu arkadaşımız saldırı geldiğinde ssh ye falan giremessinki falan diyebilir çok çeşitli botnet saldırıları var zamanında aldığım bir saldırıda microsof url control adındaki botlar siteye giriyordu hattı 40 mbite fırlatıp sunucuya erişimi tamamen engelliyordu yukardaki htaccess kodundan sonra bu saldırı serveri etkilememeye başladı ardından farklı bir saldırı geldi mrtg 0 landı çünkü bu sefer apache gümlemişti ancak diğer servisler çalışıyordu işte böyle bir saldırıda sshden rahatça gelen istekleri görüp rahat rahat dediklerimi yapabilirsiniz ben uygulayacaktım ama saldırı kesildi şansıma deneyemedim bunu haricinde makineye ulaşamıyorsanız reboot paneliniz varsa ordan yada dc ile iletişime geçerek reboot attırıp sunucu açılır açılmaz makina fail olmadan apacheyi durdurup işlemleri yapabilirsiniz biraz hızlı olmaya bakıyor dediklerim