ms12-020 Срочно обновляться!

Майкрософт выпустила обновление, устраняющее грубейшую ошибку в протоколе RDP
technet.microsoft.com/ru-ru/security/bulletin/ms12-020

Наиболее серьезная из этих уязвимостей делает возможным удаленное выполнение кода, если злоумышленник отправляет уязвимой системе последовательность специально созданных пакетов RDP

Уже выпущены публичные эксплоиты и тысячи школьников ринулись взламывать необновленные системы.
Первая массовая атака замечена вечером 19.03.2012. Необновленные системы съедают все имеющееся CPU.
Вывод:
— Не держите rdp на стандартном порту
— Пользуйтесь только официальными системами
— Чаще обновляйтесь

client intended to send too large body

Открываем конфиг:
vim /etc/nginx/sites-enabled/www.site.ru.conf

Добавляем:
client_max_body_size 20m;

Перезапускаем Nginx:
/etc/init.d/nginx reload

Ограничение числа подключений посредством IPTABLES

4 запроса в 5 секунд
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -m recent --update --seconds 5 --hitcount 4 --name DEFAULT --rsource -j DROP
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name DEFAULT --rsource

Настройка OpenVPN на VDS с Debian за 5 минут

В данной статье рассматривается ручная настройка сервера OpenVPN. Так же можно воспользоваться автоматическим скриптом настройки OpenVPN сервера Настройка OpenVPN сервера на Debian, Ubuntu, CentOS за пару минут



Читать дальше

Отражение DDOS атаки с использованием nginx, ipset, fail2ban и bash

Имеем:
Ботнет, генерирующий ~20.000 соединений в секунду. Входящий траффик ~70 Мб/с.
В логе апача картина:
187.2.194.149 — - [15/Mar/2012:17:46:31 +0300] «GET /forum/topic/102808-ddos-uslugizakazat-ddosddos-attackddos-uslugi/ HTTP/1.0» 502 173 "-" «Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6600/5.27.0; 6936) Opera 8.50 [ru]»
41.134.194.89 — - [15/Mar/2012:17:46:31 +0300] «GET /forum/topic/102808-ddos-uslugizakazat-ddosddos-attackddos-uslugi/ HTTP/1.0» 502 173 "-" «Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.9) Gecko/20050711 Firefox/1.0.5»
79.173.200.41 — - [15/Mar/2012:17:46:31 +0300] «GET /forum/topic/102808-ddos-uslugizakazat-ddosddos-attackddos-uslugi/ HTTP/1.0» 502 575 "-" «Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)»
Итак, у нас однотипные запросы с постоянно меняющимся UA. К слову, через некоторое время атака поменялась и пошли запросы
GET /
и
POST /

1. Усиливаем TCP стек:
#cat /etc/sysctl.conf
net.ipv4.tcp_syncookies=1
net.ipv4.tcp_tw_recycle=1
net.ipv4.tcp_tw_reuse=1
net.ipv4.tcp_keepalive_time=10
net.ipv4.tcp_fin_timeout=5



Читать дальше
  • 0
  • 16 марта 2012, 14:56
  • LSD