DDOS

[admin]

Сайтик для бана наиболее наглых ip , для полуавтоматичесткого бана.

http://208.87.243.4/~havokg/index.php

[admin]

команда
сколько конектов с какого ip

netstat -atnp | grep ":80" | awk '{print $5}' | cut -d : -f1 | sort | uniq -c | sort -rn | head -n 20

к какому сайту больше всего обращений

wget -O - http://localhost/whm-server-status|grep GET|cut -d">" -f5|cut -d"<" -f1|sort|uniq -c|sort -nr|head
==================================
блокировка ip

csf -td IP
==================================
Обращения к апачу

/etc/init.d/httpd fullstatus

links --dump http://localhost/whm-server-status



количество апачей

ps aux | grep httpd | wc -l или httpd

рестарт апача
etc/init.d/httpd stop&&/etc/init.d/httpd start или reh
если не стартует
killall -9 httpd потом reh


рестарт вмсте с nginx
service nginx stop && ulimit -n 16384 && service nginx start && reh или real


============================================

блокировка ip

csf -td IP

[admin]

начало путеводителя по отбою от досов

подсчитать Экзимы
ps aux|grep exim|wc -l
убить Экзим
/etc/init.d/exim stop

подсчитать Апачи
ps aux|grep httpd|wc -l
если > 250
рестарт Апач
/etc/init.d/httpd restart
ps aux|grep httpd|wc -l
если снова > 250
остановить апач
/etc/init.d/httpd stop

конекты на апач
netstat -plan|grep :85| awk {'print $5'} |cut -d: -f 1|sort|uniq -c|sort -n
убить адрес
/etc/csf/csf.pl -d ip
или на 69
iptables -I INPUT -s IP -j DROP

найти домен на который сыпят
tail -200 /var/log/nginx/error.log

если не проявляется то
в /etc/nginx/nginx.conf включить "access_log on"
рестартануть чтобы принялось
/etc/init.d/nginx reload

и
tail -200 /var/log/nginx/access.log


забанить домен
если продолжают активно сыпать на забаненый домен, то в
/etc/nginx/nginx.conf перед словом atack.ru прописать имена злых доменов
рестартануть чтобы принялось
kill -HUP `cat /var/run/nginx.pid`


подсчитать перлы
ps aux|grep perl|wc -l

статус апача
/etc/init.d/httpd status

полный статус апача
/etc/init.d/httpd fullstatus

[admin]

проверка на synflood
netstat -n --tcp | grep SYN_RECV | wc -l

последние 100 записей в лог nginx
tail -100 /var/log/nginx/access.log


блокировка атакующих SITENAME ip

for i in `tail -100 /var/log/nginx/access.log | grep SITENAME | awk '{print $1}' | sort | uniq`; do csf -d $i; done ;

[admin]

при атаке на админки

mcedit /etc/nginx/nginx.conf


находишь строку
#########WP-Login Auth################
#include /etc/nginx/conf.d/wpauth.cnf;
######################################


раскоментировать include /etc/nginx/conf.d/wpauth.cnf;

и service nginx restart

[admin]

https://rusua.org.ua/2013/01/07/411/

[admin]

https://wiki.iphoster.net/wiki/Nginx_-_DDOS_-_verifying_pingback_from
то нужно настроить nginx таким образом что для всех клиентов у кого стоит http_user_agent=WordPress* отдавать 444 ошибку.

Добавляем в нужный location или для всех секции server виртуального хоста:

location / {
................
if ($http_user_agent ~* "WordPress") {
return 444;
}
}


nginx.conf - поднять лимиты:

worker_processes 4;
events {
worker_connections 10240;
}

# ulimit -n1000000
# /etc/init.d/nginx restart

[admin]

for i in `tail -1000 /var/log/apache2/domlogs/USERNAME/* | awk '{print $1}' | sort | uniq`; do csf -d $i; done