DDoS aanval afslaan

[Tommiiee]

Hi,

Mijn website die op een VPS draait wordt al ruim 24 uur aangevallen met de volgende requests:

xxx.96.68.32 - - [26/Sep/2013:09:19:42 +0200] "POST / HTTP/1.1" 200 678 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 412 1025

Ik word helemaal platgebombardeerd met "POST / HTTP/1.1" requests. Ik heb al meer dan 70.000 IP addressen gebanned, maar de aanval gaat ondertussen vrolijk verder. Loop een beetje achter de feiten aan zo.
Inmiddels heb ik, door de frontpage van mijn website offline te halen (maintenance mode) alle andere services op de VPS kunnen redden (die draaien nu zonder problemen).

Nu heb ik geprobeerd om die POST uit te schakelen op de '/' locatie d.m.v. een .htaccess. Dit zorgt er echter voor dat ook alle onderliggende mappen (waaronder een forum) ook geen POSTS meer mogen uitvoeren.
Mijn forum draait op dit moment zonder problemen, omdat ik mijn frontpage in maintenance heb staan. Maar zodra ik die weer live zet is het weer raak.
Is het mogelijk om dit te restricten tot alleen '/' en niet de onderliggende mappen?

Andere tips om deze aanval een halt toe te roepen zijn uiteraard ook van harte welkom.

Thanks!

Tom

 

[dnties]

Zou handig zijn als je laat zien wat er in die .htaccess van de hoofdmap staat, nu.
En hebben die submappen óók een eigen .htaccess bestand?

Tijs.

 

[Tommiiee]

Heb 't er nu uit gehaald, maar het was iets als:

<Limit POST>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>

Aanval gaat intussen vrolijk verder...

 

[Redgdk]

Je kunt even alles blokkeren totdat hij stopt
Dit gebruik ik ook om een website te testen

htaccess file

order deny,allow
deny from all
allow from jouwip
of
order allow,deny
deny from xxx.96.68.32
allow from all

en dan op xxx ipnummer invoeren en de laatste 2 blokken weglaten
zoals dit
xxx.96

suc7

 

[dnties]

Ik las iets interessants: gebruik van .htaccess doe je alleen als je geen toegang hebt tot de het configuratie-bestand van de webserver. Indien je wél toegang hebt tot het configuratie-bestand van de webserver, dan kun je per directory in httpd.conf (of hoe het configuratiebestand bij jou ook maar heet) de allow en deny etc. regels onderbrengen.

Dus iets als (voor de hoofdmap (= "/")):
<Directory />
<Limit POST>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>
</Directory>

En dan hoef je het niet per submap aan te geven dat het daar wél toegestaan is. (Natuurlijk wel Apache herstarten na aanpassingen httpd.conf).

Tijs.

 

[Tommiiee]

Ik las iets interessants: gebruik van .htaccess doe je alleen als je geen toegang hebt tot de het configuratie-bestand van de webserver. Indien je wél toegang hebt tot het configuratie-bestand van de webserver, dan kun je per directory in httpd.conf (of hoe het configuratiebestand bij jou ook maar heet) de allow en deny etc. regels onderbrengen.

Dus iets als (voor de hoofdmap (= "/")):
<Directory />
<Limit POST>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>
</Directory>

En dan hoef je het niet per submap aan te geven dat het daar wél toegestaan is. (Natuurlijk wel Apache herstarten na aanpassingen httpd.conf).

Tijs.

Yea, maar als ik dit doe, wil dat dan zeggen dat POSTs in alle subdirectories wel blijven werken? Ik denk namelijk van niet..

Edit: gaat niet werken:

# Each directory to which Apache has access can be configured with respect
# to which services and features are allowed and/or disabled in that
# directory (and its subdirectories).

 

[dnties]

Ik heb even nagekeken, en (net als .htaccess) is dat recursief.

Zou dus betekenen dat je voor de submappen de POST denial weer ongedaan moet maken.
Voordeel van het te regelen in httpd.conf is dat je regular expressions kunt gebruiken.
Hopelijk werkt dan het volgende zoals je bedoelde (ingebracht in httpd.conf en daarna Apache herstarten):

<Directory />
<Limit POST>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>
</Directory>

<Directory /?*>
<Limit POST>
order deny,allow
allow from all
</Limit>
</Directory>

[Ik kan het hier niet testen.]

Tijs.

 

[Tommiiee]

Ik heb even nagekeken, en (net als .htaccess) is dat recursief.

Zou dus betekenen dat je voor de submappen de POST denial weer ongedaan moet maken.
Voordeel van het te regelen in httpd.conf is dat je regular expressions kunt gebruiken.
Hopelijk werkt dan het volgende zoals je bedoelde (ingebracht in httpd.conf en daarna Apache herstarten):

<Directory />
<Limit POST>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>
</Directory>

<Directory /?*>
<Limit POST>
order deny,allow
allow from all
</Limit>
</Directory>

[Ik kan het hier niet testen.]

Tijs.

Hoe pas ik dit toe op alleen mijn eigen domain? Ik heb er namelijk 3, die ik met VirtualHosts afhandel. Daarnaast heb ik begrepen dat "/" de root van het systeem is (could be wrong though).
Dan zou "/" dus "/var/www/domain1/public_html/" worden, toch?

 

[dnties]

Wordt alleen maar verwarrender op deze manier, maar ik zou (voor puur domain1) verwachten dat het dan zo zou moeten zijn:

<Directory /var/www/domain1/public_html/>
<Limit POST>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>
</Directory>

<Directory /var/www/domain1/public_html/?*>
<Limit POST>
order deny,allow
allow from all
</Limit>
</Directory>

Als domein2 en domein3 vergelijkbare mappenstructuur geldt, die dan ook toevoegen in 2 <Directory> ingangen per domein, aangepast aan hún paden.

Tijs.

 

[Tommiiee]

Thanks, ga het straks uitproberen.

Kan op m'n werk niet SSH'en of FTP'en en mijn Teamviewer is ermee opgehouden

 

[Tommiiee]

Edit:
Never mind, ik liep te falen.

Het werkt: mijn CPU is flink gedaald, maar dit lost uiteraard het probleem nog niet op. Nu is het echter een kwestie van de aanval uitzitten.

Bedankt!