Here is a one liner to check for IPs of bots that are misusing your site.
$ awk '$6 ~ /POST/ && $9 ~ /200/ {print $1 " " $7}' /var/log/httpd/access_log | sort | uniq -c | sort -n | tailThis will give you the top 10 IPs and URIs with a hit count.
Consider blocking those rogue IPs with a high hit count via iptables.
Анализ DDoS можно производить конечно своими скриптами, парсить логи. Но лучше предоставить это апачевскому mod_evasive.
Ставим mod_evasive, в конфигурации пишем
DOSHashTableSize 3097 DOSPageCount 15 DOSSiteCount 15 DOSPageInterval 3 DOSSiteInterval 3 DOSBlockingPeriod 300 DOSSystemCommand "/usr/bin/sudo /usr/bin/fwban %s"
Нам понадобиться скрипт для бана на уровне файрвола «/usr/bin/fwban» (вариант для Linux):
#!/bin/bash if [ "x$1" = "x" ] ; then echo "USAGE: $0 IPADDR" exit fi /sbin/iptables -A BAN -s $1 -j DROP
Ему надо поставить права 755.
Так же нам понадобиться утилита sudo. Она стоит практически везде. В «visudo» закомментируем опцию:
#Defaults requiretty
И добавим строку
apache ALL = NOPASSWD: /usr/bin/fwban
где apache – юзер от которого работает апач.
Так же нам понадобиться цепочка BAN в iptables:
iptables -N BAN iptables -I INPUT -j BAN
Сохраним правила файрвола
/etc/init.d/iptables save
Рестартанем апач. Теперь попробуйте уложить ваш сайт (только не со своего айпи!!!):
ab -n 1000 -c 20 http://yoursite.info/
В логах «жертвы» можно увидеть:
May 6 15:18:25 Server1 mod_evasive[26514]: Blacklisting address 1.2.3.4: possible DoS attack.
А в файрволе:
# iptables-save ---многа букав--- -A BAN -s 1.2.3.4 -j DROP ---многа букав---
Ура! No pasaran.
Да. И конечно, апач лучше бы прикрыть извне nginx’ом.
Да. И данный метод банит айпишнеги перманентно, пока не рестартанет сервер, или не будет сброшена цепочка BAN. Вот такой брутальный метод )
This works for both HTTP and HTTPS where any front end web server such as nginx which handles the actual request sets a header when request comes via HTTPS. In Apache configuration you then use mod_setenvif to set the HTTPS variable, which Django then picks up to use for redirection.
With front end nginx server which handles SSL, set header «X-Forwarded-Proto=https» via:
proxy_set_header X-Forwarded-Proto https;On Apache, add directive:
SetEnvIf X-Forwarded-Proto https HTTPS=1The HTTPS variable is picked up as being special by mod_wsgi and it will fix the wsgi.url_scheme in WSGI environment which Django then uses for redirection.
This way you don't need to customize Django stack.
This is again short post for people lazy enough to not compile and always looking for some quick way to upgrade/install software. The machine is having CentOS 5.2 and httpd 2.2.8. We are looking to upgrade httpd to 2.2.17 to succeed in PCI compliance. While I assured that current Apache is having all security upgrades [...]
Иногда бывает нужно сделать так, чтобы апач и скрипты запускаемые кроном имели разные php.ini. К примеру, для того чтобы ограничить скрипты апача разными disable_functions.
Просто создаем копию php.ini в любом месте, допустим, это будет версия для Apache. Добавляем в нее:
Это серьезно усложнит жизнь злоумышленнику на пути повышения привилегий.
И прописываем путь к этому php.ini в httpd.conf:
Перезапускаем апач и простеньким скриптом проверяем что получилось:
Apache:
SetEnvIfNoCase Request_URI "\.(gif|jpe?g|png|htc|css|js|ico)$" skiplog<br />CustomLog "/var/log/httpd/access.log" combined env=!skiplogLighttpd:
$HTTP["url"] =~ "\.(gif|jpe?g|png|htc|css|js|ico)$" {<br /> accesslog.filename = "/dev/null"<br />}If you offer a web service that users query via scripts or other applications, you'll probably find that some people will begin to abuse the service. My site is no exception.
While many of the users have reasonable usage patterns, there are some users that query the site more than once per second from the same IP address. If you haven't used the site before, all it does is return your public IP address in plain text. Unless your IP changes rapidly, you may not need to query the site more than a few times an hour.
I added the following to my icanhazip.com virtual host definition to get the message across to those users that abuse the service:
ErrorDocument 403 "No can haz IP. Stop abusing this service. \ Contact major at mhtx dot net for details." RewriteEngine On RewriteCond %{REMOTE_ADDR} ^12.23.34.45$ [OR] RewriteCond %{REMOTE_ADDR} ^98.87.76.65$ RewriteRule .* nocanhaz [F]
The users that are caught on the business end of these 403 responses will see something like this:
$ curl -i icanhazip.com HTTP/1.1 403 Forbidden Date: Wed, 17 Nov 2010 13:42:55 GMT Server: Apache Content-Length: 84 Connection: close Content-Type: text/html; charset=iso-8859-1 No can haz IP. Stop abusing this service. Contact major at mhtx dot net for details.
is a post from: Major Hayden's blog.
Итак, допустим вы решили перейти на worker MPM в Apache чтобы повысить производительность. Имеем CentOS с Apache и PHP установленные из репозитория .
Сначала устанавливаем новый тредобезопасный модуль PHP:
Возможно придется обновить PHP до последней версии.
Затем в /etc/sysconfig/httpd раскомментируем строчку:
Убедимся, что в конфиге апача присутствуют примерно такие настройки:
Где:
StartServers – сколько процессов стартует при запуске
MinSpareThreads/MaxSpareThreads – сервер будет держать количество свободных потоков (про запас) в этих рамках. Свободные потоки – это сумма потоков во всех процессах
MaxClients – максимально количество одновременных клиентов. Т.е. максимальное количество потоков во всех процессах.
ThreadsPerChild – сколько потоков может создавать каждый процесс. Т.о. если мы разделим MaxClients на ThreadsPerChild, то получим сколько максимум процессов будет создано при максимальной загрузке.
ServerLimit – сколько макс. процессов может быть. Естественно, это число должно быть не меньше MaxClients/ThreadsPerChild – числа процессов при максимальной нагрузке.
MaxRequestsPerChild – через сколько запросов уничтожается процесс.
Если используется Zend или IonCube надо поправить пути к ним (обычно в php.ini), заменив на тредобезопасные варианты.
Рестартуем апач:
И получаем результат:
Памяти никогда много не бывает. И по мере роста трафика сервер может начать свопиться, а это очень плохо. Посмотрим что же можно сделать:
Today, on my 28th birthday, I'm finally delivering on a promise to my readers which I made about two months ago. I've on how to host a web application redundantly in a cloud environment. While it's still a bit of a rough draft, it should be a good starting point for those who haven't worked in virtualized environments before. Also, it may show some of the more experienced systems administrators a new way to do things.
The guide:
As always, if you find anything in the guide that needs improvement, I'm all ears. 
is a post from: Major Hayden's blog.