LINUX.ORG.RU

suhosin configured request variable name length limit exceeded


0

1

Дропнул iptables'ом глянул в hosts.deny уже давно лежит, а suhosin все продолжает:
Src IP: 205.186.128.245

Feb 7 03:44:04 suhosin[26885]: ALERT - configured request variable name length limit exceeded - dropped variable 'amp;*//skins/common/wikibits_js?301//skins/common/wikibits_js?301' (attacker '205.186.128.245', file '/site/location/index.php'


Запросы идут такого вида:

130.94.69.197 - - [07/Feb/2012:04:02:15 +0700] «GET /index.php?title=&direction=next&oldid=521&printable=yes//skins/common/iefixes.js?301//skins/common/IEFixes.js?301//skins/common/IEFixes.js?301//index.php?title=-&action=raw&gen=js&useskin=monobook//skins/common/wikibits.js?301//skins/common/wikibits.js?301//index.php?title=-&action=raw&gen=js&useskin=monobook//skins/common/wikibits.js?301 HTTP/1.0» 200 26688 "-" "-"


Т.е. это либо что это попытка слабая sql инъекции, либо оригинальный ддос.
Вопрос в другом, почему это может продолжатся после блокирования ip.

Заблокировал через .htaccess но странно как-то.

anonymous_sama ★★★★★
() автор топика

Закинь куда нибудь полный лог, айпишки можешь затереть.
Вдруг это какая то хитрая дыра в mediawiki. :)

winddos ★★★
()

Но вообще 99.99% это нормальный легитимный запрос.
Просто его сухозин зарезает.

winddos ★★★
()
Ответ на: комментарий от winddos

64.13.232.43 - - [07/Feb/2012:05:38:46 +0700] «GET /index.php?title=sitemainepagename&action=edit&oldid=256//skins/common/IEFixes.js?301//skins/common/IEFixes.js?301//skins/common/IEFixes.js?301//skins/common/wikibits.js?301//skins/common/wikibits.js?301//load.php?debug=false&lang=ru&modules=startup&only=scripts&skin=monobook&*//load.php?debug=false&lang=ru&modules=site&only=scripts&skin=monobook&*//skins/common/IEFixes.js?301 HTTP/1.1» 200 26823 "-" «PHP Spam Karma 2 Check»


Что за странный user agent ничего не нашел, есль плагин для wordpress с походим названием, пока сделал правило в .htaccess чтобы все с таким отправлялись на один сайтик для плохих людей. Думаю что это какой-то валидатор, но с другой стороны почему он тогда пытается делать один и тот же запрос.

anonymous_sama ★★★★★
() автор топика
Ответ на: комментарий от anonymous_sama

.htaccess лучше не пользоватся. в случае хитрого DOSа (с одной буквой, у вас ведь не распределнка, раз залочили айпишник) - нагрузка куда выше чем от iptables.
и вобще перепишете случайно с высшим приоритетом например. я бы(если позволяет возможность) добавил дроп по Name в iptables - до окончательного выяснения что это, если запрос содержит уникальную комбинацию символов. И от айпи бы не зависило и железно бы фильтровало.

star4
()
Ответ на: комментарий от star4

Кстати хорошая идея, просто я по запросам еще не фильтровал. Только по виду трафика.

anonymous_sama ★★★★★
() автор топика

Атаки продолжаются. Чуть больше 200 ip. user-agent стал меняться периодично, вопрос в другом как проще и грамотней сразу блокировать ip'шки с алертов suhosin. Пока представляются и нагуглись 3 решение:

fail2ban, от использование которого я бы отказался

Bash cкрипт в кроне такого вида, который не работает:

#!/bin/bash
ip=`grep suhosin /var/log/messages | grep attacker | grep -v 127.0.0.1 | egrep -o '([0-9]{1,3}\.){3}[0-9]{1,3}' | uniq -c | sort -nr | tail -1 | awk '{print$2}'`iptables -I INPUT -s $ip -j DROP

Выполнять php скрипт указанный в suhosin.filter.action, который бы блокировал ip, но не доверять же такое php скрипту

На скорую руку делать пока ничего не хочется. Возможно есть более удобные и простые решения?

anonymous_sama ★★★★★
() автор топика
Ответ на: комментарий от anonymous_sama

Очень простое решение.
Поищи информацию о кэшировании на стороне mediawiki или на стороне любого легковесного проксирующего сервера.
Думаю кэш сделает этот «ддос» бесполезным.

Точных решений к сожалению не подскажу.

winddos ★★★
()
Ответ на: комментарий от winddos

Кеширование уже работает. Он и так бесполезен, но suhosin меня напрягает, и таки хотелось бы делать drop ip сразу же.

anonymous_sama ★★★★★
() автор топика
Ответ на: комментарий от anonymous_sama

но suhosin меня напрягает

Неаккуратненько как-то?

Ну так закроешь это, будут долбиться в другие места.
Если сервер твой, то лучше настрой остальные сервисы и какой нибудь apparmor.
Настрой там psad, knockd.

В общем если ты думаешь, что это целенаправленный ддос, то лучше подумать о том, что на сервере можно эдакого сломать.

winddos ★★★
()
Ответ на: комментарий от winddos

Все настроено, но IDS которая используется абсолютно по барабану, что выдает suhosin. Да меня больше сейчас беспокоит использование ipset ибо правила уже перевалили за 10мб, лол

anonymous_sama ★★★★★
() автор топика
Ответ на: комментарий от anonymous_sama

Все настроено

Вау, да ты параноик.

Расскажи тогда, что настроено, вдруг я для себя что нибудь ещё найду настроить...

winddos ★★★
()

Выбрал такое решение:

#!/bin/bash
ip=`grep suhosin /var/log/syslog | grep attacker | grep -v 127.0.0.1 | egrep -o '([0-9]{1,3}\.){3}[0-9]{1,3}' | uniq -c | sort -nr | tail -1 | awk '{print$2}'`
ipset -A setname $ip
.

anonymous_sama ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.