Re: Подскажите адекватного регистратора зарубежных доменов
On 14.12.2011 20:17, Andrey Rahmatullin wrote: On Wed, Dec 14, 2011 at 07:48:32PM +, Дмитрий Савельев wrote: Не подскажете, у кого -нибудь есть опыт такой передачи? Да у многих есть, вопрос в чём? Что надо сделать, зарегиться у них, заплатить за аккаунт и обратиться к ним и к этим козлам о передаче? Да. То есть грубо говоря, как другие регистраторы к таким вопросам относятся и т.п.? К вопросам передачи нормально. О контенте сразу предупредите, хихи. Посмотрел прайсы на передачу доменов от других регистраторов регистратору, у которого по whois болтается кавказцентр (ну кто еще может быть толерантнее к антипутинистским сайтам? хотя кавказцентр конечно же не анти-, а пробуржуазный, в отличие от нашего, в чем может быть загвоздка), https://domaininfo.com/registrartransfer.asp , это что, реально такие прайсы - от 50 евро и выше за передачу домена?! И у других тоже? Т.е., дешевле новый домен завести? Ппц какой-то -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rb7cp-000k6z...@internal.tormail.net
Re: Подскажите адекватного регистратора зарубежных доменов
On 14.12.2011 21:03, Valentin Yermolayev wrote: 2011/12/14 Дмитрий Савельевdsavel...@tormail.net: А самое главное, каких-то адекватных регов, толи английских, толи нидерландских (в Нидерландах у нас хостинг, так его не прикрыли, видимо, не смогли - проще же наверное с хостером решать, а не с регистратором доменов). P.S. Сайт был антиправительственный, призывал к низвержению путинской диктатуры и кап. строя в России. Так хостинг то сменить легче, потому занимаются сразу доменом Так они 2 месяца с ним ничего сделать не могли. До этого мы - тестинга ради, несколько раз юзали российские домены, на полмесяца их хватало. Примерно на 2 - 3 день в логах веб-серверов были замечены ip ФСБ, через полмесяца снимали с делегирования (т.е., никто там особо не чешеться, видимо пока написали рапорт, пока получили резолюцию, пока подготовили/завизировали/подписали письмо (очевидно, бумажное, а не электронное) регистратору... А тут как сменили, на следующий день начался ddos, который прекратился только после того, как путем по-видимому двухмесячных интриг они добились своего. P.S. 2 абузы на спам - это круто! Причем на ... два письма. Это видимо, gmail.com, yahoo.com, aol.com давно уже сотни, тысячи и миллионы раз можно было заблокировать. На тех же сайтах правительственных и прочих общероссийских газет и т.п. есть кнопки - отправить по почте. Видимо, ими регулярно пользуются, и кому-то может это не понравиться. Кому-то не понравилось, что получил письмо от этого домена, хренак абузу. Основания для снятия с делегирования. Предлог, скорее. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rb7kp-000keb...@internal.tormail.net
Re: Подскажите адекватного регистратора зарубежных доменов
On 15.12.2011 10:01, Дамир wrote: On 12/15/2011 01:36 PM, Дмитрий Савельев wrote: P.S. 2 абузы на спам - это круто! Причем на ... два письма. Может это... СтОит почту сделать в другом домене? Сайт - один домен, почта - другой. Вообще другой. -- DamirX Да,видимо так мы и сделаем. Уже думали над этим вопросом. Спасибо за совет. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rb9ae-000loa...@internal.tormail.net
Re: Подскажите адекватного регистратора зарубежных доменов
On 15.12.2011 10:43, Andrey Rahmatullin wrote: On Thu, Dec 15, 2011 at 09:27:55AM +, Дмитрий Савельев wrote: может быть загвоздка), https://domaininfo.com/registrartransfer.asp , это что, реально такие прайсы - от 50 евро и выше за передачу домена?! И у других тоже? Нет, см. например https://manage.name.com/domain-transfer Да, вроде приемлемые, еще нескольких нашел, только все американские, что смущает несколько. У этих кстати, которых Вы привели, условия с одной стороны хорошие, но, с другой стороны, правила драконовские. Эти, если будут действовать формально согласно ним, могут нас засуспендить и не дать оттрансфериться... Хотя и рекламируют себя словами Вы ненавидите Вашего регистратора?. Т.е., дешевле новый домен завести? Голосуйте ногами, это ваш выбор. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rbhp5-0002yc...@internal.tormail.net
Re: Подскажите адекватного регистратора зарубежных доменов
On 10.12.2011 19:16, Дмитрий Савельев wrote: Добрый вечер, Впервые сталкиваюсь с такой пакостью. Один из наших недоброжелателей зарегистрировался на нашем сайте, послал с него себе письмо (!!!) и потом написал нашему регистратору, что мы де козлы рассылаем ему спам. И регистратор среагировал на эту абузу, прислал нам письмо, что мы мол делаем такое, что при подобных дальнейших обращениях они могут разделигировать наш домен. Несмотря на то, что это единичный запрос, и, по-видимому, на google.com, aol.com и yahoo.com, наверное, поступают десятки и сотни таких запросов, и никто их домены не разделигирует :) (Мне самому тонны спама сваливаются периодически с этих адресов). Не подскажете наиболее адекватных регистраторов международных доменов, которые не страдают такой фигней? Или они все ей страдают, и это запрос носит формальный характер, а домены они отключают когда им приходят тонны таких запросов? Сумасшедший дом, Ответили, что без достаточных оснований они не суспендят, но так как получили фигню, сообщают о ней. А на следующий день засуспендили!!! Типа получили еще одну. То есть, если домен находится у сумасшедшего регистратора, то достаточно, чтобы два идиота отправили себе или кому-то с сайта e-mail'ы с копиями материалов, и по двум спам-абузам(!!!) (о двух письмах) засуспендить домен!!! Интересно, почему тогда google.com и yahoo.com до сих пор не засуспенжены, с них мне столько спама приходит! Вообще надо бы приколоться, начать писать на них абузы, чтоли :) На требование рассуспендить сообщили, что сделать этого не могут, но могут разрешить передать домен (другому регистратору), если я правильно перевел выражение we can allow you to transfer away the domain name. Уважаемые друзья, Не подскажете, у кого -нибудь есть опыт такой передачи? И, если можно, какого-нибудь адекватного регистратора в Европе наверное. Потому что это были американцы, и их видимо очень попросили из Госдепа и ФБР, по просьбе МИДа и ФСБ России. Утром и днем у нас на сайте (по логам) тусуются полицаи и фэбсы (ip по whois принадлежат им), а вечерам нас суспендят... И на следующий день прекращается ddos-атака. То есть совершенно очевидно, откуда ноги растут. P.S. Сайт был антиправительственный, призывал к низвержению путинской диктатуры и кап. строя в России. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1raug6-0005ut...@internal.tormail.net
Re: Подскажите адекватного регистратора зарубежных доменов
On 14.12.2011 19:43, Andrey Rahmatullin wrote: On Wed, Dec 14, 2011 at 07:39:05PM +, Дмитрий Савельев wrote: Не подскажете, у кого -нибудь есть опыт такой передачи? Да у многих есть, вопрос в чём? Что надо сделать, зарегиться у них, заплатить за аккаунт и обратиться к ним и к этим козлам о передаче? То есть грубо говоря, как другие регистраторы к таким вопросам относятся и т.п.? А самое главное, каких-то адекватных регов, толи английских, толи нидерландских (в Нидерландах у нас хостинг, так его не прикрыли, видимо, не смогли - проще же наверное с хостером решать, а не с регистратором доменов). P.S. Сайт был антиправительственный, призывал к низвержению путинской диктатуры и кап. строя в России. Ыхыхы. Чайлдпорна туда ещё залейте сразу. Ну тут как бэ свобода слова, а не чайлдпорно :) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1raupm-0005ea...@internal.tormail.net
Re: Облака
On 07.12.2011 06:27, Andrey Kononov wrote: потому что через irc управляются ботнеты. А где можно теорию по ботнетам почитать? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1ryogm-xo...@internal.tormail.net
Re: Облака
On 06.12.2011 18:01, Dmitry E. Oboukhov wrote: хостер (VDS) выкинул очередную гадость, решил я сменить его. соответственно кто порекомендует какого хостера VDS: - чтобы не запрещал ставить любой софт (мой хостер запретил IRC в любом виде) - чтобы с простоями не было проблем (то есть чтобы их не было) ну и цены ну и сабж? смотрю появились какие-то cloud VPS. на них местами встречается Debian, правда почему-то только lenny. кто это все щупал, поделитесь впечатлениями? и почему дистрибутивы такие старые? вроде технологии новые а дистры старые. ядра чтоли? Вроде с leaseweb у нас не было особых проблем, можете посмотреть. P.S. Я вот не совсем понимаю, почему некоторые хостеры запрещают IRC? Не раз сталкивался, читая правила, при выборе хостера. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1ryavn-000ani...@internal.tormail.net
aptitude update: что за фигня?
Чтение списков пакетов... Ошибка! E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Списки пакетов или status-файл не могут быть открыты или прочитаны. E: Не удалось перестроить кеш пакетов E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Не удалось обработать или открыть список пакетов или файл состояний. E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Не удалось обработать или открыть список пакетов или файл состояний. Что за фигня? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rwtxy-000bak...@internal.tormail.net
Re: aptitude update: что за фигня?
On 03.12.2011 19:32, Mikhail A Antonov wrote: 03.12.2011 22:04, Дмитрий Савельев пишет: Чтение списков пакетов... Ошибка! E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Списки пакетов или status-файл не могут быть открыты или прочитаны. E: Не удалось перестроить кеш пакетов E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Не удалось обработать или открыть список пакетов или файл состояний. E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Не удалось обработать или открыть список пакетов или файл состояний. Что за фигня? Первая ссылка в google рекомендует удалить /var/lib/apt/lists/* и обновить список пакетов. Только не помогает. После удаления файлов из это диры (не каталогов) проблема остается: Чтение списков пакетов... Ошибка! E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Списки пакетов или status-файл не могут быть открыты или прочитаны. E: Не удалось перестроить кеш пакетов E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Не удалось обработать или открыть список пакетов или файл состояний. Текущее состояние: 0 новых [-3]. E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Не удалось обработать или открыть список пакетов или файл состояний. после удаления также каталога partial получил следующую бяку: aptitude update E: Каталог /var/lib/apt/lists/partial отсутствует. После создания каталога /var/lib/apt/lists/partial вручную и запуска aptitude update воспроизводится первая проблема: Чтение списков пакетов... Ошибка! E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Списки пакетов или status-файл не могут быть открыты или прочитаны. E: Не удалось перестроить кеш пакетов E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Не удалось обработать или открыть список пакетов или файл состояний. Текущее состояние: 0 новых [-3]. E: Encountered a section with no Package: header E: Problem with MergeList /var/lib/apt/lists/security.debian.org_dists_lenny_updates_main_binary-amd64_Packages E: Не удалось обработать или открыть список пакетов или файл состояний. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rwyck-000hvo...@internal.tormail.net
Re: Ахинея: нет места на диске (resolved)
On 16.11.2011 04:49, FreeHCK wrote: Дмитрий Савельев dsavel...@tormail.net writes: find /var/www -mtime +N (N - подставьте на свой выбор) +N - это же когда надо найти файлы, которые были модифицированы не ранее N суток до поиска? Наверное, -N? Собственно, увидите что именно сожрало последние иноды - а рядом наверняка найдутся и остальные вредители. Ой-ой, и правда ошибся. +N - это для поиска файлов, модифицированных как минимум N+1 дней тому назад. Надо писать просто N. По поводу -N не уверен. В любом случае спасибо, что поправили. Такое надо фиксировать - иногда любознательные люди копаются в архивах. :) Ну, если верить man find: Numeric arguments can be specified as +n for greater than n, -n for less than n, n for exactly n. Спасибо, нашел виновника: /var/spool/exim4/msglog Отлично, поздравляю! Спасибо, решил проблему. А то я, столкнувшись с ней спросонья :), сначала подумал, что те, кто его ддосил, на этот раз взломали :) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rqe2q-000iot...@internal.tormail.net
Re: Ахинея: нет места на диске
On 15.11.2011 06:47, Alexander Galanin wrote: 15.11.2011 9:43, Дмитрий Савельев пишет: Имеется вдс под Debian Lenny, появилась такая проблема - программы начинают орать, что нет места на диске: … В чем может быть дело? Могли иноды закончиться. Проверьте квоту. Я дисковые квоты не устанавливал: quotacheck -vagum quotacheck: Cannot find filesystem to check or filesystem not mounted with quota option. На сервере мне несколько раз приходилось удалять файлы из /var/spool/exim4/input, также перед возникновением проблемы я удалил разросшиеся логи апача и нгинкс (хотя, что касается последних, я как понимаю, повлиять не должно было, файлу же, как я понимаю, соответствует одна инода). Может быть, каким-то образом иноды удаленных файлов система воспринимает, как до сих пор занятые? syns делал, не помогает. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rqohj-0003ac...@internal.tormail.net
Re: Ахинея: нет места на диске (resolved)
On 15.11.2011 08:32, FreeHCK wrote: Дмитрий Савельев dsavel...@tormail.net writes: Да, точно, спасибо, что-то ступил, сразу не сообразил: df -i Файловая система Инодов Испол Своб Исп % смонтирована на /dev/sda32240224 2240224 0 100% / Как бы теперь разобраться, за счет чего они закончились? И как их расчистить? Вроде при удалении временных файлов должны и иноды высвобождаться? Жаль, что в du опции -i, к сожалению, нет. Скорее всего у Вас какой-нибудь скрипт в корневом разделе создает много временных файлов, а затем забывает их удалять. /tmp, как я видел, у Вас на отдельном разделе, C /tmp как раз все в порядке, там инодов занято на 1% только. стало быть искать надо скорее всего где-нибудь в /var/www... Для поиска я бы предложил воспользоваться find, например так: find /var/www -mtime +N (N - подставьте на свой выбор) +N - это же когда надо найти файлы, которые были модифицированы не ранее N суток до поиска? Наверное, -N? Собственно, увидите что именно сожрало последние иноды - а рядом наверняка найдутся и остальные вредители. Спасибо, нашел виновника: /var/spool/exim4/msglog За несколько месяцев накопилась куча какашек, а я не заметил :)
Ахинея: нет места на диске
Имеется вдс под Debian Lenny, появилась такая проблема - программы начинают орать, что нет места на диске: /etc/init.d/nginx start Starting nginx: the configuration file /etc/nginx/nginx.conf syntax is ok [emerg]: open() /var/run/nginx.pid failed (28: No space left on device) configuration file /etc/nginx/nginx.conf test failed И не только nginx, очень многие. При этом, места полно: df -h Файловая система Разм Исп Дост Исп% смонтирована на /dev/sda3 34G 14G 19G 42% / tmpfs 250M 0 250M 0% /lib/init/rw udev 10M 600K 9,5M 6% /dev tmpfs 250M 0 250M 0% /dev/shm /dev/sda2 92M 22M 65M 26% /boot /dev/sda6 1,9G 35M 1,8G 2% /tmp В чем может быть дело? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rqboo-000ine...@internal.tormail.net
Re: Ахинея: нет места на диске
On 15.11.2011 06:47, Alexander Galanin wrote: 15.11.2011 9:43, Дмитрий Савельев пишет: Имеется вдс под Debian Lenny, появилась такая проблема - программы начинают орать, что нет места на диске: … В чем может быть дело? Могли иноды закончиться. Проверьте квоту. Да, точно, спасибо, что-то ступил, сразу не сообразил: df -i Файловая система Инодов Испол Своб Исп % смонтирована на /dev/sda32240224 2240224 0 100% / Как бы теперь разобраться, за счет чего они закончились? И как их расчистить? Вроде при удалении временных файлов должны и иноды высвобождаться? Жаль, что в du опции -i, к сожалению, нет. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rqdx4-000jwl...@internal.tormail.net
Re: Авторизация в dovecot
On 04.11.2011 10:51, Дмитрий Савельев wrote:
On 03.11.2011 18:57, Dmitri V. Ivanov wrote:
On Wed, Nov 02, 2011 at 07:56:56PM +, Дмитрий Савельев wrote:
давкота, которые в файле /etc/dovecot/dovecot.passwd:
u...@domain.com:{CRAM-MD5}хэш:1000:1000::path/to/dir:::path/to/mailbox
Сделал dovecotpw, выдало такой хэш:
u...@domain.com:{HMAC-MD5}хэш:1000:1000::path/to/dir:::path/to/mailbox
UID для учетной записи под которой запущен dovecot случайно не изменился
при переносе с машины на машину? Может просто забыли поменять?
UID и GID пользователя и группы dovecot действительно поменялись.
Но в вышеприведенном конфиге разве не UID и GID юзера, которому
принадлежит mailbox?
По крайней мере, на старом сервере у меня было именно так, на новом я
также поменял в соответствии с происшедшими изменениями.
Разбирая логи exim'а, обнаружил, что mbox был не доступен для exim (и,
видимо, для давкота тоже), т.к. у него были выставлены права chmod 600.
Соответственно, exim не мог в него ничего записывать, а давкот, видимо,
не мог читать.
Установил 660, добавил пользователя, которому принадлежит mbox, в
доверенную группу экзима, с этим проблема решилась - exim теперь пишет
туда сообщения.
Добавил этого же пользователя в группу давкота, но результата никакого
нет. Как не проходил авторизацию, так и не проходит.
Сравнивал конфиги давкота с нового и со старого сервера - одинаковые,
кроме UID и GID, а также хэша пароля.
Что за засада?
Заменил, результат тот же.
Систему переносил с другого сервера (с той же системой и т.п.),
соответственно конфиги копировал. На том сервере все работало.
Сейчас при попытке залогиниться с почтового клиента орет, что не прошло
аутентификацию.
В логах такая фигня:
vnrf dovecot: pop3-login: Disconnected: rip=ipaddr, lip=127.0.0.1, secured
Вот я тупан! Понадеялся на cp и diff, а видимо нечаянно скопировал из
/etc в etc, распакованное из тарболла, и наоборот :)
Включил дебаг-логгирование,а потом перечитал конфиг, и понял это :)
Сейчас все работает. А я как дурак не мог разобраться десколько дней.
P.S. Во время гуглежа нашел такие вкусные утилиты в давкоте, как
doveamd, doveconf и т.п. Скажите, они только в версии давкота 2+?
В 1+ их нет? Как я вижу, в репах lenny и squeeze только первый давкот, в
сквизе посвежее, но не двойка. Кто нибудь пробовал двойку собирать на
стабильном дебиане или на олдстейбле? Какие могут быть подводные камни?
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1rmjqb-000ezb...@internal.tormail.net
Re: Авторизация в dovecot
On 03.11.2011 18:57, Dmitri V. Ivanov wrote:
On Wed, Nov 02, 2011 at 07:56:56PM +, Дмитрий Савельев wrote:
давкота, которые в файле /etc/dovecot/dovecot.passwd:
u...@domain.com:{CRAM-MD5}хэш:1000:1000::path/to/dir:::path/to/mailbox
Сделал dovecotpw, выдало такой хэш:
u...@domain.com:{HMAC-MD5}хэш:1000:1000::path/to/dir:::path/to/mailbox
UID для учетной записи под которой запущен dovecot случайно не изменился
при переносе с машины на машину? Может просто забыли поменять?
UID и GID пользователя и группы dovecot действительно поменялись.
Но в вышеприведенном конфиге разве не UID и GID юзера, которому
принадлежит mailbox?
По крайней мере, на старом сервере у меня было именно так, на новом я
также поменял в соответствии с происшедшими изменениями.
Разбирая логи exim'а, обнаружил, что mbox был не доступен для exim (и,
видимо, для давкота тоже), т.к. у него были выставлены права chmod 600.
Соответственно, exim не мог в него ничего записывать, а давкот, видимо,
не мог читать.
Установил 660, добавил пользователя, которому принадлежит mbox, в
доверенную группу экзима, с этим проблема решилась - exim теперь пишет
туда сообщения.
Добавил этого же пользователя в группу давкота, но результата никакого
нет. Как не проходил авторизацию, так и не проходит.
Сравнивал конфиги давкота с нового и со старого сервера - одинаковые,
кроме UID и GID, а также хэша пароля.
Что за засада?
Заменил, результат тот же.
Систему переносил с другого сервера (с той же системой и т.п.),
соответственно конфиги копировал. На том сервере все работало.
Сейчас при попытке залогиниться с почтового клиента орет, что не прошло
аутентификацию.
В логах такая фигня:
vnrf dovecot: pop3-login: Disconnected: rip=ipaddr, lip=127.0.0.1, secured
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1rmhni-000kmc...@internal.tormail.net
Re: exim и 2 ip на вдс
On 03.11.2011 10:49, alexander barakin wrote: On Wed, Nov 02, 2011 at 07:48:11PM +, Дмитрий Савельев wrote: On 02.11.2011 17:42, alexander barakin wrote: On Wed, Nov 02, 2011 at 09:50:53AM +, Дмитрий Савельев wrote: Имеется вдс под Debian Lenny, у него 2 ip. Как заставить exim работать через конкретный ip? Поправил в /etc/exim4.conf.template запись hostlist relay_from_hosts = 127.0.0.1 : ip-addr : second_ip_addr на hostlist relay_from_hosts = 127.0.0.1 : ip-addr , однако все равно шлет через второй, а не первый адрес. сбилось ваше форматирование, но, судя по упомянутым словам, не то вы исправляли· Точно, не то, что-то ступил, просто сделал grep -R ipaddr /etc/exim4 и других конфигов и записей с ip не обнаружил :) А вообще, в этом обилии маленьких файлов тяжело разобраться. По документации, такое поведение должно быть, когда указанные адреса недоступны, однако они все доступны для него. Что делать? нужно добавить запись interface = ip-адрес в конфигурацию соответствующего транспорта· у меня squeeze и exim настроен на «разбиение конфигурации на мелкие файлы», поэтому имена файлов — лишь для общей ориентировки, а главный ориентир — название секции (ну и, конечно, это всё происходит в разделе, описывающем транспорты)· если отправка через smarthost, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost в секции remote_smtp_smarthost: добавляете interface=ip-адрес если отправка своими силами, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp в секции remote_smtp: добавляете interface=ip-адрес вроде как рекомендуют добавлять эту строку не в начале секции, а после строки driver=smtp но, по-моему, и так cойдёт· если не пойдёт, передвиньте· $ sudo update-exim4.conf и проверяйте· Премного благодарен за подробное разъяснение Прописал как Вы написали, однако тестовое письмо пришло со вторым ip-адресом. вы точно в нужном месте записали? проверьте по сгенерированному файлу /var/lib/exim4/config.autogenerated если у вас выбрана «вся конфигурация в одном файле», то надо исправлять этот самый файл /etc/exim4/exim4.conf.template, а не покусочковую разбивку из /etc/exim4/conf.d Не было параметра в /var/lib/exim4/config.autogenerated Оказывается, я ступил, извиняюсь, думал, что у меня в маленьких конфигах, а оказывается я его переконфигурировал в большой конфиг. Сейчас переконфигурировал в маленькие, и в /var/lib/exim4/config.autogenerated появился этот параметр. Ну или можно было в большой конфиг вписать. И да, большое спасибо, тестовое письмо пришло с первым ip-адресом, с которым я хотел!!! P.S. Прошу прощения за то, что ступил. P.S. Согласно netstat, exim слушает на адресе: :::25 Как это изменить?! $ sudo dpkg-reconfigure exim4-config примерно третий вопрос: Please enter a semicolon-separated list of IP addresses. The Exim SMTP listener daemon will listen on all IP addresses listed here. Спасибо. Однако это не совсем то, как я понял, это где слушать входящие, а не откуда отправлять исходящие, что в данном случае для меня не принципиально. Но, как говориться, каков вопрос, таков и ответ. P.S. Немного оффтопичный вопрос, хотя и связанный с вопросом нескольких ip на одном вдс. Если я не разделяю ip по доменам и в dns прописываю одно и то же название хостов для обоих ip (mail.domain.com, smtp.domain.com, pop.domain.com) - это нормально или может породить какие-то конфликты? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rlvcm-0005hs...@internal.tormail.net
Re: И вот пришла Злая Тётя Ддося
On 01.11.2011 11:59, Дмитрий Савельев wrote: On 30.10.2011 17:40, Aleksandr Sytar wrote: Очень странно что nginx вам не подошел. В нем ест отличный инструмент limit_conn и limit_req. Может вы не не изучили документацию по этим модулям? Мне в свое время с помощью них и geoip удалось побороть 100Mbit ддос. А все-таки nginx пошел, это видимо или из-за ддос-атаки, или из-за анти-ддос настроек апача и iptables не всегда грузилось и выдавало ngunx timeout. Возникает вопрос, сохранять ли ранее описанные параноидальные настройки апача? Как я понимаю, если не сохранять, то процессы апача могут начать плодиться также, только через nginx? Сейчас вкуриваю материалы по nginx, вроде после его установки сначала все стало виснуть, затем немного повкуривал настройки, используя этот материал http://www.xakep.ru/post/49752/default.asp (хотя для нормальной ситуации, если нет ddos, такой конфиг, как я понимаю, - верх кривизны), сайту полегчало, но не до конца. Сейчас пытаюсь использовать limit_conn для определения наиболее активных ddos-еров, буду курить limit_req и geoip (т.к., я вполне понимаю, что посетителями моего сайта могут быть россияне + русскоязычные живущие в Европе и США, но египтяне, африканцы, индусы, аргентинцы и т.п. - вряд ли, если я так отсеку 10 легитимных пользователей из 1000 ддосеров, то это не очень хорошо, но на худой конец они могут и через проксю зайти, тем более что сайт больше ориентирован на тех, кто живет в России, на соотечественников за рубежом несколько в меньшей степени). Правда, сайт интенсивно ддосят с российских ip, а их по geoip не забанишь. Возник вопрос, что кэширование может в какой-то степени улучшить ситуацию, т.к. не будет подвешивать апач и php прорвавшимися запросами ддосеров. Однако, сервер у меня под lenny, там nginx nginx/0.6.32, он, как я понимаю, не умеет кэширование. Если поставить nginx из squeeze, не потащит он за собой лишних либ и полсистемы?! Нашел более новую версию на бэкпортах, так что из сквиз ставить не пришлось. Настроил кэширование, и даже после убирания из правил iptables баны ip ботнета - сайт работает отлично. 500 ботов пока положить его не могут. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rlxz1-000ilf...@internal.tormail.net
Re: exim и 2 ip на вдс
On 02.11.2011 17:42, alexander barakin wrote: On Wed, Nov 02, 2011 at 09:50:53AM +, Дмитрий Савельев wrote: Имеется вдс под Debian Lenny, у него 2 ip. Как заставить exim работать через конкретный ip? Поправил в /etc/exim4.conf.template запись hostlist relay_from_hosts = 127.0.0.1 : ip-addr : second_ip_addr на hostlist relay_from_hosts = 127.0.0.1 : ip-addr , однако все равно шлет через второй, а не первый адрес. сбилось ваше форматирование, но, судя по упомянутым словам, не то вы исправляли· Точно, не то, что-то ступил, просто сделал grep -R ipaddr /etc/exim4 и других конфигов и записей с ip не обнаружил :) А вообще, в этом обилии маленьких файлов тяжело разобраться. По документации, такое поведение должно быть, когда указанные адреса недоступны, однако они все доступны для него. Что делать? нужно добавить запись interface = ip-адрес в конфигурацию соответствующего транспорта· у меня squeeze и exim настроен на «разбиение конфигурации на мелкие файлы», поэтому имена файлов — лишь для общей ориентировки, а главный ориентир — название секции (ну и, конечно, это всё происходит в разделе, описывающем транспорты)· если отправка через smarthost, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost в секции remote_smtp_smarthost: добавляете interface=ip-адрес если отправка своими силами, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp в секции remote_smtp: добавляете interface=ip-адрес вроде как рекомендуют добавлять эту строку не в начале секции, а после строки driver=smtp но, по-моему, и так cойдёт· если не пойдёт, передвиньте· $ sudo update-exim4.conf и проверяйте· Премного благодарен за подробное разъяснение Прописал как Вы написали, однако тестовое письмо пришло со вторым ip-адресом. P.S. Согласно netstat, exim слушает на адресе: :::25 Как это изменить?! -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rlgnm-000nr1...@internal.tormail.net
Авторизация в dovecot
Добрый вечер,
Не могу настроить авторизацию в dovecot.
dovecot 1.0.15 на вдс с Debian Lenny AMD64. Авторизация по юзерам
давкота, которые в файле /etc/dovecot/dovecot.passwd:
u...@domain.com:{CRAM-MD5}хэш:1000:1000::path/to/dir:::path/to/mailbox
Сделал dovecotpw, выдало такой хэш:
u...@domain.com:{HMAC-MD5}хэш:1000:1000::path/to/dir:::path/to/mailbox
Заменил, результат тот же.
Систему переносил с другого сервера (с той же системой и т.п.),
соответственно конфиги копировал. На том сервере все работало.
Сейчас при попытке залогиниться с почтового клиента орет, что не прошло
аутентификацию.
В логах такая фигня:
vnrf dovecot: pop3-login: Disconnected: rip=ipaddr, lip=127.0.0.1, secured
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1rlgwk-000nwf...@internal.tormail.net
Re: И вот пришла Злая Тётя Ддося
On 30.10.2011 17:40, Aleksandr Sytar wrote: Очень странно что nginx вам не подошел. В нем ест отличный инструмент limit_conn и limit_req. Может вы не не изучили документацию по этим модулям? Мне в свое время с помощью них и geoip удалось побороть 100Mbit ддос. А все-таки nginx пошел, это видимо или из-за ддос-атаки, или из-за анти-ддос настроек апача и iptables не всегда грузилось и выдавало ngunx timeout. Возникает вопрос, сохранять ли ранее описанные параноидальные настройки апача? Как я понимаю, если не сохранять, то процессы апача могут начать плодиться также, только через nginx? Сейчас вкуриваю материалы по nginx, вроде после его установки сначала все стало виснуть, затем немного повкуривал настройки, используя этот материал http://www.xakep.ru/post/49752/default.asp (хотя для нормальной ситуации, если нет ddos, такой конфиг, как я понимаю, - верх кривизны), сайту полегчало, но не до конца. Сейчас пытаюсь использовать limit_conn для определения наиболее активных ddos-еров, буду курить limit_req и geoip (т.к., я вполне понимаю, что посетителями моего сайта могут быть россияне + русскоязычные живущие в Европе и США, но египтяне, африканцы, индусы, аргентинцы и т.п. - вряд ли, если я так отсеку 10 легитимных пользователей из 1000 ддосеров, то это не очень хорошо, но на худой конец они могут и через проксю зайти, тем более что сайт больше ориентирован на тех, кто живет в России, на соотечественников за рубежом несколько в меньшей степени). Правда, сайт интенсивно ддосят с российских ip, а их по geoip не забанишь. Возник вопрос, что кэширование может в какой-то степени улучшить ситуацию, т.к. не будет подвешивать апач и php прорвавшимися запросами ддосеров. Однако, сервер у меня под lenny, там nginx nginx/0.6.32, он, как я понимаю, не умеет кэширование. Если поставить nginx из squeeze, не потащит он за собой лишних либ и полсистемы?! -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rld0z-0004yy...@internal.tormail.net
Re: И вот пришла Злая Тётя Ддося
On 30.10.2011 17:40, Aleksandr Sytar wrote: Очень странно что nginx вам не подошел. В нем ест отличный инструмент limit_conn и limit_req. Может вы не не изучили документацию по этим модулям? Мне в свое время с помощью них и geoip удалось побороть 100Mbit ддос. Не то, чтобы он мне не подошел, но я не мог понять, почему я не вижу сайт, хотя по логам получалось, что соединение есть. Сейчас еще раз переустановил, вижу, что по логам соединение есть, но на веб-странице выдает такое: 504 Gateway Time-out nginx/0.6.32 Видимо, это связано с тем, что я апач против ддоса ранее описанным способом конфигурял? задал директиву MaxClients 15 вprefork MPM и 150 в # worker MPM (не так много обычно у меня было легитимных посетителей одновременно). Видимо, сейчас второй тоже уменьшу где-нибудь до 25 чтоли. Также, руководствуясь этими инсрукциями http://dd0s.blogspot.com/2008/04/dos-ddos-apache.html, указал апачу следующие конфигурационные данные: Timeout 30 KeepAlive Off AcceptFilter http httpready AcceptFilter https dataready Кроме того, установил libapache2-mod-evasive и дописал в конфиге апача следующее: DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 120 DOSEmailNotify ad...@somedomain.com DOSSystemCommand su - root -c '/sbin/iptables -I INPUT 2 -s %s -j DROP' DOSWhiteList 127.0.0.* myipaddr1 myapaddr2n И теперь не соображаю, а как его правило переконфигурять для работы с nginx?
Re: И вот пришла Злая Тётя Ддося
On 30.10.2011 05:27, Dmitry A. Zhiglov wrote: On Oct 30, 2011 12:34 AM, Дмитрий Савельев dsavel...@tormail.net mailto:dsavel...@tormail.net wrote: On 28.10.2011 22:51, Michael Shigorin wrote: On Wed, Oct 26, 2011 at 11:08:48AM +, Дмитрий Савельев wrote: Железные же решения денег стоят, сайт достаточно маленький, вот злодеи, надо же напасть было!!! Если честно, за свой небольшой опыт сего одминства, это первый случай ddos, до этого как то благополучно избегал :) Что за сайт вызвал такое живое вминание, если не секрет? Секрет :) Точнее не секрет, но не хочу разводить в рассылке полит-срача и т.п. |(вообще apache наружу лучше не выставлять, а упаковать за nginx в качестве reverse proxy либо вообще упразднить -- ну тяжёлый он, чтоб ещё и соединения принимать да контент отдавать, а не только бэкендами заниматься) Поробовал поместить его за nginx - толку ноль в рассматирваемом отношении. nginx выдает ошибку, думал, неправильно сконфигурял, не коннектит с апачем, пытаюсь посмотреть логи - из них видно, что злые ддосеры достигают апача через нгинкс, значит, видимо, из-за ддос-атаки такая фигня. Не знаю, как спасаться, нагрепанных из логов tcpdump и логов апача ip забанил более 200, сначала помогло, но теперь с новых ддосят. Правила iptables, касающиеся ограничения коннектов, не работают, точнее, если их до предела ужесточать, то эффект тот же, что и от ддос-атаки - сайт лежит. Установил вот этот скрипт - http://deflate.medialayer.com/, толку тоже ноль. Посмотрел в чем дело - оказывается, ддосеры теперь не шлют кучу пакетов с одного хоста (из множества хостов), а пытаются установить по 1 - 2 соединения с каждого хоста, вовлеченного в атаку, а их порядка нескольких сотен. Т.е. хитро обходят защиту. Что с этим делать? Это только мысль. Надо отделить клиента от ддосера. Создать на отдельном хостинге статическую, можно модную с лого легким, статическую картинку, настроить инжиникс, т.е. усилить, и просить клиентов кликнуть по лого или делать редирект. Что лучше - надо экспериментировать. Спасибо, покурю в этом направлении. Еще есть мысль написать скрипт типа этого дефлейта, потому что эти зачем-то используют реффериз с двух сайтов (!!!) - удафф-кома и еще какой-то муры. Надо чтобы скрипт грепал лог апача (или нгинкса, если поставить его перед апачем), и банил хосты, которые приходят якобы с этих сайтов. Хотя тогда враги придумают что-нибудь новое, наверное, но видимо такова уж злая судьбина моя и их - их ддосить, меня - отбиваться :) Вы случаем не предоставляете сервис погоды? Может и совпадение, но у нашего агента проблемы вместе с вашими начались. Нет, сайт некоммерческий, радикальной оппозиции.
Re: И вот пришла Злая Тётя Ддося
On 28.10.2011 22:51, Michael Shigorin wrote: On Wed, Oct 26, 2011 at 11:08:48AM +, Дмитрий Савельев wrote: Железные же решения денег стоят, сайт достаточно маленький, вот злодеи, надо же напасть было!!! Если честно, за свой небольшой опыт сего одминства, это первый случай ddos, до этого как то благополучно избегал :) Что за сайт вызвал такое живое вминание, если не секрет? Секрет :) Точнее не секрет, но не хочу разводить в рассылке полит-срача и т.п. |(вообще apache наружу лучше не выставлять, а упаковать за nginx в качестве reverse proxy либо вообще упразднить -- ну тяжёлый он, чтоб ещё и соединения принимать да контент отдавать, а не только бэкендами заниматься) Поробовал поместить его за nginx - толку ноль в рассматирваемом отношении. nginx выдает ошибку, думал, неправильно сконфигурял, не коннектит с апачем, пытаюсь посмотреть логи - из них видно, что злые ддосеры достигают апача через нгинкс, значит, видимо, из-за ддос-атаки такая фигня. Не знаю, как спасаться, нагрепанных из логов tcpdump и логов апача ip забанил более 200, сначала помогло, но теперь с новых ддосят. Правила iptables, касающиеся ограничения коннектов, не работают, точнее, если их до предела ужесточать, то эффект тот же, что и от ддос-атаки - сайт лежит. Установил вот этот скрипт - http://deflate.medialayer.com/, толку тоже ноль. Посмотрел в чем дело - оказывается, ддосеры теперь не шлют кучу пакетов с одного хоста (из множества хостов), а пытаются установить по 1 - 2 соединения с каждого хоста, вовлеченного в атаку, а их порядка нескольких сотен. Т.е. хитро обходят защиту. Что с этим делать? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rkfbe-mc...@internal.tormail.net
Re: И вот пришла Злая Тётя Ддося
On 26.10.2011 10:44, Alex Kuklin wrote: On 26.10.2011 14:35, Дмитрий Савельев wrote: On 25.10.2011 08:40, Alex Kuklin wrote: On 24.10.2011 23:23, Дмитрий Савельев wrote: Добрый вечер, Помогите пожалуйста начинающему линукс-одмину! Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая Тётя Ддося. Как с ней бороться?! Какие-то козлы прямо на следующий день стали ужасно ддосить сервер. Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под Debian Lenny), и незадолго до того, как я ушел от них, меня стали жестоко ддосить. Тогда вопрос решился добавлением в правила iptables по этим инструкциям http://www.protocols.ru/files/Papers/iptables-tbf.pdf http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html Т.к. ведро у меня было старное (2.16.18), и не принимало правила hashlimit, я включил в него такие правила: iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -m limit -j DROP И проблема сразу решилась. Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня проработать - опять началась атака. И опять самое тупейшее syn-наводнение на 80-й порт. syn cookies включены? Боюсь, что нет. А где про них подробнее можно почитать? Нагуглил что-то в английской википедии, не понял, что и как. http://lmgtfy.com/?q=syn%20cookies%20linux третья ссылка Выключены были заразы: cat /proc/sys/net/ipv4/tcp_syncookies 0 Включил их: echo 1 /proc/sys/net/ipv4/tcp_syncookies Посмотрим, будет ли лучше ситуация. P.S. А как их включить на постоянной основе, чтобы и при перезагрузке включались? Где-то в /etc есть соотв. конфиг, наверное? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rjtge-000f2y...@internal.tormail.net
Re: И вот пришла Злая Тётя Ддося
On 25.10.2011 08:27, Aleksandr Sytar wrote: 24 октября 2011 г. 23:23 пользователь Дмитрий Савельев dsavel...@tormail.net написал: Добрый вечер, Помогите пожалуйста начинающему линукс-одмину! Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая Тётя Ддося. Как с ней бороться?! Какие-то козлы прямо на следующий день стали ужасно ддосить сервер. Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под Debian Lenny), и незадолго до того, как я ушел от них, меня стали жестоко ддосить. Тогда вопрос решился добавлением в правила iptables по этим инструкциям http://www.protocols.ru/files/Papers/iptables-tbf.pdf http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html Т.к. ведро у меня было старное (2.16.18), и не принимало правила hashlimit, я включил в него такие правила: iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -m limit -j DROP И проблема сразу решилась. Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня проработать - опять началась атака. И опять самое тупейшее syn-наводнение на 80-й порт. Поскольку тут ядро поновее, я взял из второй инструкции такое правило: iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP Не помогло. Точнее, частично помогло, поскольку часть вражеских пакетов задерживает. Но не все. Ввел тогда до кучи еще и старое, думал - не будет работать, однако заработало. Поставил его перед последним, и что одно, что второе - задерживают пакеты. Сначала все было нормально... часа полтора. И вот опять - атака, которая оказалась успешной. Сервер повис, пришлось останавливать веб-сервер. Так как размножаются как черти процессы апача - доходит до нескольких десятков + в системе висит куча (неск. десятков) таких процессов: /usr/bin/php5-cgi php Я уже думаю, не протроянили ли они меня, помимо ddos. Хотя когда убиваешь апач и пхп киллом - все убивается и не появляется, пока вновь не запустишь апач и через некоторое время атака не начнет вешать систему. Не подскажете что-нибудь умное? Вроде простейшая атака, а prefork MPMне получается побороть никак. - Настройте апач, чтобы он не плодил бесконечно процесы Настроил, задал директиву MaxClients 15 вprefork MPM и 150 в # worker MPM (не так много обычно у меня было легитимных посетителей одновременно). Видимо, сейчас второй тоже уменьшу где-нибудь до 25 чтоли. Также, руководствуясь этими инсрукциями http://dd0s.blogspot.com/2008/04/dos-ddos-apache.html, указал апачу следующие конфигурационные данные. Timeout 30 KeepAlive Off AcceptFilter http httpready AcceptFilter https dataready Кроме того, установил libapache2-mod-evasive и дописал в конфиге апача следующее: DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 120 DOSEmailNotify ad...@somedomain.com DOSSystemCommand su - root -c '/sbin/iptables -I INPUT 2 -s %s -j DROP' DOSWhiteList 127.0.0.* myipaddr1 myapaddr2n Не понял, как настраивать директивы LimitRequestBody, LimitRequestFields, LimitRequestFieldSize, LimitRequestLine, LimitXMLRequestBody , какие им давать значения. Поэтому не рискнул делать это методом ненаучного тыка, ибо так можно 10 дней трахаться. Решил попозже погуглить, или может кто умное подскажет в рассылке. Не совсем понял, работает или нет, по крайней мере правила в iptables не добавляются. Похоже, что в какой-то степени работают, в /var/log/apache2/error.log такая запись: [error] server reached MaxClients setting, consider raising the MaxClients setting [notice] caught SIGTERM, shutting down Только непонятно, в связи с чем он получил SIGTERM? Электронная почта же не отправляется, сообщения в iptbales не добавляются (а оно вообще может сделать это? апач же бегает под юзером www, а не под рутом? Инструкция была взята http://dd0s.blogspot.com/2008/03/flood-ddos-http-moddosevasive.html отсюда). Кроме того, прописал правила iptables, дропающие пакеты с ip, участвовавших в атаке, а также разослал абузы по их провайдерам. На абузы никто не ответил :), эти же правила iptables не работают, т.к. атака продолжается с других хостов. Если в первый день пакеты дропались, то сейчас в выводе iptables -L -v не дропнут ни один пакет. Сейчас опять пишу логи iptables, но это, имхо, как уничтожать крыс на помойке голыми руками. Вот если бы тот модуль настроить правильно, чтобы он автоматически блокировал хосты засранцев. - Если ширины канала не хватит чтобы отдать всем ботам траффик - ограничьте его - Вы уверены, что то что вы написали в iptables вам помогает? - Вы уверены что машина справится с такой загрузкой? Мб, стоит посмотреть, что может предложить хостер из железных решений.
Re: Почему netstat не кажет апачевский порт?!
On 27.10.2011 07:38, Mikhail A Antonov wrote: 27.10.2011 01:11, Vladimir Mevsha пишет: 25.10.11 11:15, Дмитрий Савельев написав(ла): Странное дело, сервак под Debian Lenny. Ввожу netstat , netstat -pan --inet, и тд. и т.п. Не кажет ни одного соединения к 80му порту!!! tcpdump показывает, nmap кажет что порт открыт, сайт из сети доступен. В чем может быть дело?! У меня Squeeze, и apache по умолчанию слушает порт 80 по tcp6(ipv6). Попробуйте netstat -ln --inet6 Это такой вид мазохизма? Зачем вообще указывать --inet и --inet6 если хочешь сам глазками посмотреть порт? Нет, могут конечно случаи, когда это полезно, но я за 13 лет работы с linux ни разу не столкнулся с ними. Ну, чтобы не вылезала инфа о линукс-сокетах, типа так. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rjnk0-000b6b...@internal.tormail.net
Re: И вот пришла Злая Тётя Ддося
On 25.10.2011 08:27, Aleksandr Sytar wrote: 24 октября 2011 г. 23:23 пользователь Дмитрий Савельев dsavel...@tormail.net написал: Добрый вечер, Помогите пожалуйста начинающему линукс-одмину! Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая Тётя Ддося. Как с ней бороться?! Какие-то козлы прямо на следующий день стали ужасно ддосить сервер. Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под Debian Lenny), и незадолго до того, как я ушел от них, меня стали жестоко ддосить. Тогда вопрос решился добавлением в правила iptables по этим инструкциям http://www.protocols.ru/files/Papers/iptables-tbf.pdf http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html Т.к. ведро у меня было старное (2.16.18), и не принимало правила hashlimit, я включил в него такие правила: iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -m limit -j DROP И проблема сразу решилась. Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня проработать - опять началась атака. И опять самое тупейшее syn-наводнение на 80-й порт. Поскольку тут ядро поновее, я взял из второй инструкции такое правило: iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP Не помогло. Точнее, частично помогло, поскольку часть вражеских пакетов задерживает. Но не все. Ввел тогда до кучи еще и старое, думал - не будет работать, однако заработало. Поставил его перед последним, и что одно, что второе - задерживают пакеты. Сначала все было нормально... часа полтора. И вот опять - атака, которая оказалась успешной. Сервер повис, пришлось останавливать веб-сервер. Так как размножаются как черти процессы апача - доходит до нескольких десятков + в системе висит куча (неск. десятков) таких процессов: /usr/bin/php5-cgi php Я уже думаю, не протроянили ли они меня, помимо ddos. Хотя когда убиваешь апач и пхп киллом - все убивается и не появляется, пока вновь не запустишь апач и через некоторое время атака не начнет вешать систему. Не подскажете что-нибудь умное? Вроде простейшая атака, а prefork MPMне получается побороть никак. - Настройте апач, чтобы он не плодил бесконечно процесы Настроил, задал директиву MaxClients 15 вprefork MPM и 150 в # worker MPM (не так много обычно у меня было легитимных посетителей одновременно). Видимо, сейчас второй тоже уменьшу где-нибудь до 25 чтоли. Также, руководствуясь этими инсрукциями http://dd0s.blogspot.com/2008/04/dos-ddos-apache.html, указал апачу следующие конфигурационные данные. Timeout 30 KeepAlive Off AcceptFilter http httpready AcceptFilter https dataready Кроме того, установил libapache2-mod-evasive и дописал в конфиге апача следующее: DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 120 DOSEmailNotify ad...@somedomain.com DOSSystemCommand su - root -c '/sbin/iptables -I INPUT 2 -s %s -j DROP' DOSWhiteList 127.0.0.* myipaddr1 myapaddr2n Не понял, как настраивать директивы LimitRequestBody, LimitRequestFields, LimitRequestFieldSize, LimitRequestLine, LimitXMLRequestBody , какие им давать значения. Поэтому не рискнул делать это методом ненаучного тыка, ибо так можно 10 дней трахаться. Решил попозже погуглить, или может кто умное подскажет в рассылке. Не совсем понял, работает или нет, по крайней мере правила в iptables не добавляются. Похоже, что в какой-то степени работают, в /var/log/apache2/error.log такая запись: [error] server reached MaxClients setting, consider raising the MaxClients setting [notice] caught SIGTERM, shutting down Только непонятно, в связи с чем он получил SIGTERM? Электронная почта же не отправляется, сообщения в iptbales не добавляются (а оно вообще может сделать это? апач же бегает под юзером www, а не под рутом? Инструкция была взята http://dd0s.blogspot.com/2008/03/flood-ddos-http-moddosevasive.html отсюда). Кроме того, прописал правила iptables, дропающие пакеты с ip, участвовавших в атаке, а также разослал абузы по их провайдерам. На абузы никто не ответил :), эти же правила iptables не работают, т.к. атака продолжается с других хостов. Если в первый день пакеты дропались, то сейчас в выводе iptables -L -v не дропнут ни один пакет. Сейчас опять пишу логи iptables, но это, имхо, как уничтожать крыс на помойке голыми руками. Вот если бы тот модуль настроить правильно, чтобы он автоматически блокировал хосты засранцев. - Если ширины канала не хватит чтобы отдать всем ботам траффик - ограничьте его - Вы уверены, что то что вы написали в iptables вам помогает? - Вы уверены что машина справится с такой загрузкой? Мб, стоит посмотреть, что может предложить хостер из железных решений.
Re: Почему netstat не кажет апачевский порт?! (resolved)
On 25.10.2011 21:39, Mikhail A Antonov wrote: 25.10.2011 16:06, Дмитрий Савельев пишет: On 25.10.2011 09:46, Mikhail A Antonov wrote: 25.10.2011 12:16, Дмитрий Савельев пишет: Странное дело, сервак под Debian Lenny. Ввожу netstat , netstat -pan --inet, и т.д. и т.п. Не кажет ни одного соединения к 80му порту!!! tcpdump показывает, nmap кажет что порт открыт, сайт из сети доступен. В чем может быть дело?! netstat -tnap | grep -w 80 Вот спасибо! Показывает все соединения с 80-м портом!!! Но не показывает что-то типа 0.0.0.0:80, т.е. порт, кой апач слушает. PS. Только не понял, почему netstat -pan не показывает? Тоже самое же, только должно выдать и tcp, и udp, а -t указывает, что должно показывать tcp. Потому что апач слушает на сокете tcp6 и netstat -nap | grep -w 80 показывает :::80 что и есть аналогом 0.0.0.0:80 ss -nap | grep -w 80 И эта все показывает! Только ip адреса или в формате ipv6, или в формате ::: и дальше мой ipv4 адрес. А ip адрес, по которому слушается 80-порт, кажет так: :::80 И это правильно. Запись :: если полностью развернуть выглядит как ::::::: и прослушивание сокета на этом адресе означает все адреса. По умолчанию прослушивание сокета на адресе :: достаточно и для подключений по IPv4. Некоторые программы (например sshd) перестраховываются(?) и слушают одновременно и на :: и на 0.0.0.0 - на некоторых ОС эти умолчания не такие и к сокету IPv6 можно подключиться только по IPv6. Ага, и показывает, что соединения с ipv4 адресами это соединения по tcp6 :) Просто, когда я выполнял привычную для меня команду netstat -pan --inet - там выводились только соединения, которые он считает как ipv4, а не ipv6, и это меня просто убило :) Думаю совсем протроянили, чтоли, злые демоны :) Я даже не обращал внимания, что там ipv6 есть, ибо покупал с ipv4 адресом. Интересно, что они мне ipv6 еще бесплатно дали? У них доп. Ip-адерса вроде как денег стоят. Спс, вопрос решен. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rj0dk-000plc...@internal.tormail.net
Re: Почему netstat не кажет апачевский порт?!
On 25.10.2011 23:38, Dmitry Nezhevenko wrote: On Wed, Oct 26, 2011 at 01:39:57AM +0400, Mikhail A Antonov wrote: Некоторые программы (например sshd) перестраховываются(?) и слушают одновременно и на :: и на 0.0.0.0 - на некоторых ОС эти умолчания не такие и к сокету IPv6 можно подключиться только по IPv6. Это умолчание легко меняется (net.ipv6.bindv6only). Плюс каждый конкретный демон может сделать себе setsockopt(). PS. Буквально еще год назад bindv6only=1 было в дефолтом debian unstable. Ясно, спасибо за информацию -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rj0oy-000prb...@internal.tormail.net
Re: И вот пришла Злая Тётя Ддося
On 25.10.2011 08:40, Alex Kuklin wrote: On 24.10.2011 23:23, Дмитрий Савельев wrote: Добрый вечер, Помогите пожалуйста начинающему линукс-одмину! Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая Тётя Ддося. Как с ней бороться?! Какие-то козлы прямо на следующий день стали ужасно ддосить сервер. Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под Debian Lenny), и незадолго до того, как я ушел от них, меня стали жестоко ддосить. Тогда вопрос решился добавлением в правила iptables по этим инструкциям http://www.protocols.ru/files/Papers/iptables-tbf.pdf http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html Т.к. ведро у меня было старное (2.16.18), и не принимало правила hashlimit, я включил в него такие правила: iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -m limit -j DROP И проблема сразу решилась. Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня проработать - опять началась атака. И опять самое тупейшее syn-наводнение на 80-й порт. syn cookies включены? Боюсь, что нет. А где про них подробнее можно почитать? Нагуглил что-то в английской википедии, не понял, что и как. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rj0qc-000ps1...@internal.tormail.net
Re: И вот пришла Злая Тётя Ддося
On 26.10.2011 10:44, Alex Kuklin wrote: On 26.10.2011 14:35, Дмитрий Савельев wrote: On 25.10.2011 08:40, Alex Kuklin wrote: On 24.10.2011 23:23, Дмитрий Савельев wrote: Добрый вечер, Помогите пожалуйста начинающему линукс-одмину! Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая Тётя Ддося. Как с ней бороться?! Какие-то козлы прямо на следующий день стали ужасно ддосить сервер. Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под Debian Lenny), и незадолго до того, как я ушел от них, меня стали жестоко ддосить. Тогда вопрос решился добавлением в правила iptables по этим инструкциям http://www.protocols.ru/files/Papers/iptables-tbf.pdf http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html Т.к. ведро у меня было старное (2.16.18), и не принимало правила hashlimit, я включил в него такие правила: iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -m limit -j DROP И проблема сразу решилась. Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня проработать - опять началась атака. И опять самое тупейшее syn-наводнение на 80-й порт. syn cookies включены? Боюсь, что нет. А где про них подробнее можно почитать? Нагуглил что-то в английской википедии, не понял, что и как. http://lmgtfy.com/?q=syn%20cookies%20linux третья ссылка Большое спасибо -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rj1la-3a...@internal.tormail.net
Re: И вот пришла Злая Тётя Ддося
On 25.10.2011 08:27, Aleksandr Sytar wrote: 24 октября 2011 г. 23:23 пользователь Дмитрий Савельев dsavel...@tormail.net написал: Добрый вечер, Помогите пожалуйста начинающему линукс-одмину! Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая Тётя Ддося. Как с ней бороться?! Какие-то козлы прямо на следующий день стали ужасно ддосить сервер. Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под Debian Lenny), и незадолго до того, как я ушел от них, меня стали жестоко ддосить. Тогда вопрос решился добавлением в правила iptables по этим инструкциям http://www.protocols.ru/files/Papers/iptables-tbf.pdf http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html Т.к. ведро у меня было старное (2.16.18), и не принимало правила hashlimit, я включил в него такие правила: iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -m limit -j DROP И проблема сразу решилась. Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня проработать - опять началась атака. И опять самое тупейшее syn-наводнение на 80-й порт. Поскольку тут ядро поновее, я взял из второй инструкции такое правило: iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP Не помогло. Точнее, частично помогло, поскольку часть вражеских пакетов задерживает. Но не все. Ввел тогда до кучи еще и старое, думал - не будет работать, однако заработало. Поставил его перед последним, и что одно, что второе - задерживают пакеты. Сначала все было нормально... часа полтора. И вот опять - атака, которая оказалась успешной. Сервер повис, пришлось останавливать веб-сервер. Так как размножаются как черти процессы апача - доходит до нескольких десятков + в системе висит куча (неск. десятков) таких процессов: /usr/bin/php5-cgi php Я уже думаю, не протроянили ли они меня, помимо ddos. Хотя когда убиваешь апач и пхп киллом - все убивается и не появляется, пока вновь не запустишь апач и через некоторое время атака не начнет вешать систему. Не подскажете что-нибудь умное? Вроде простейшая атака, а prefork MPMне получается побороть никак. - Настройте апач, чтобы он не плодил бесконечно процесы Настроил, задал директиву MaxClients 15 вprefork MPM и 150 в # worker MPM (не так много обычно у меня было легитимных посетителей одновременно). Видимо, сейчас второй тоже уменьшу где-нибудь до 25 чтоли. Также, руководствуясь этими инсрукциями http://dd0s.blogspot.com/2008/04/dos-ddos-apache.html, указал апачу следующие конфигурационные данные. Timeout 30 KeepAlive Off AcceptFilter http httpready AcceptFilter https dataready Кроме того, установил libapache2-mod-evasive и дописал в конфиге апача следующее: DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 120 DOSEmailNotify ad...@somedomain.com DOSSystemCommand su - root -c '/sbin/iptables -I INPUT 2 -s %s -j DROP' DOSWhiteList 127.0.0.* myipaddr1 myapaddr2n Не понял, как настраивать директивы LimitRequestBody, LimitRequestFields, LimitRequestFieldSize, LimitRequestLine, LimitXMLRequestBody , какие им давать значения. Поэтому не рискнул делать это методом ненаучного тыка, ибо так можно 10 дней трахаться. Решил попозже погуглить, или может кто умное подскажет в рассылке. Не совсем понял, работает или нет, по крайней мере правила в iptables не добавляются. Похоже, что в какой-то степени работают, в /var/log/apache2/error.log такая запись: [error] server reached MaxClients setting, consider raising the MaxClients setting [notice] caught SIGTERM, shutting down Только непонятно, в связи с чем он получил SIGTERM? Электронная почта же не отправляется, сообщения в iptbales не добавляются (а оно вообще может сделать это? апач же бегает под юзером www, а не под рутом? В /var/log/apache2/suexec.log только выполнение php. Инструкция была взята http://dd0s.blogspot.com/2008/03/flood-ddos-http-moddosevasive.html отсюда). Кроме того, прописал правила iptables, дропающие пакеты с ip, участвовавших в атаке, а также разослал абузы по их провайдерам. На абузы никто не ответил :), эти же правила iptables не работают, т.к. атака продолжается с других хостов. Если в первый день пакеты дропались, то сейчас в выводе iptables -L -v не дропнут ни один пакет. Сейчас опять пишу логи iptables, но это, имхо, как уничтожать крыс на помойке голыми руками. Вот если бы тот модуль настроить правильно, чтобы он автоматически блокировал хосты засранцев. В общем, при вышеизложенных настройках полдня сайт поработал, хотя грузился при тестовых посещениях не всегда сразу, и в итоге упал, не знаю точно когда. И сервер завис, пришлось его рестартовать. Сейчас - судя по выводу tcpdump -n dst port 80, атака усилилась и пакеты бегают по экрану в несколько раз быстрее. - Если ширины
Re: Почему netstat не кажет апачевский порт?!
On 25.10.2011 09:46, Mikhail A Antonov wrote: 25.10.2011 12:16, Дмитрий Савельев пишет: Странное дело, сервак под Debian Lenny. Ввожу netstat , netstat -pan --inet, и т.д. и т.п. Не кажет ни одного соединения к 80му порту!!! tcpdump показывает, nmap кажет что порт открыт, сайт из сети доступен. В чем может быть дело?! netstat -tnap | grep -w 80 Вот спасибо! Показывает все соединения с 80-м портом!!! Но не показывает что-то типа 0.0.0.0:80, т.е. порт, кой апач слушает. PS. Только не понял, почему netstat -pan не показывает? Тоже самое же, только должно выдать и tcp, и udp, а -t указывает, что должно показывать tcp. ss -nap | grep -w 80 И эта все показывает! Только ip адреса или в формате ipv6, или в формате ::: и дальше мой ipv4 адрес. А ip адрес, по которому слушается 80-порт, кажет так: :::80 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rifmf-000dmm...@internal.tormail.net
И вот пришла Злая Тётя Ддося
Добрый вечер, Помогите пожалуйста начинающему линукс-одмину! Приобрел VDS под Debian Lenny, поднял на нем сайт, и тут ... пришла Злая Тётя Ддося. Как с ней бороться?! Какие-то козлы прямо на следующий день стали ужасно ддосить сервер. Надо сказать, до этого я поднимал свой сайт на другом сервере (тоже под Debian Lenny), и незадолго до того, как я ушел от них, меня стали жестоко ддосить. Тогда вопрос решился добавлением в правила iptables по этим инструкциям http://www.protocols.ru/files/Papers/iptables-tbf.pdf http://hlmod.ru/forum/zashita-igrovogo-servera/1178-ddos-zashita-linuxovskogo-servera-cherez-pravila-iptables.html Т.к. ведро у меня было старное (2.16.18), и не принимало правила hashlimit, я включил в него такие правила: iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -m limit -j DROP И проблема сразу решилась. Теперь мигрировал на новый сервер, поднял сайт, не успел он и дня проработать - опять началась атака. И опять самое тупейшее syn-наводнение на 80-й порт. Поскольку тут ядро поновее, я взял из второй инструкции такое правило: iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP Не помогло. Точнее, частично помогло, поскольку часть вражеских пакетов задерживает. Но не все. Ввел тогда до кучи еще и старое, думал - не будет работать, однако заработало. Поставил его перед последним, и что одно, что второе - задерживают пакеты. Сначала все было нормально... часа полтора. И вот опять - атака, которая оказалась успешной. Сервер повис, пришлось останавливать веб-сервер. Так как размножаются как черти процессы апача - доходит до нескольких десятков + в системе висит куча (неск. десятков) таких процессов: /usr/bin/php5-cgi php Я уже думаю, не протроянили ли они меня, помимо ddos. Хотя когда убиваешь апач и пхп киллом - все убивается и не появляется, пока вновь не запустишь апач и через некоторое время атака не начнет вешать систему. Не подскажете что-нибудь умное? Вроде простейшая атака, а не получается побороть никак. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1riq7k-0004ys...@internal.tormail.net
