Блог вебмастера

Удаленный пользователь может произвести DoS атаку. …

Сайт проекта Apache Software Foundation был выведен на несколько часов в офлайн после того как было обнаружено проникновение в результате утечки SSH-ключа. Сайт восстановил работу после изменений в DNS, направляющих пользовательские запросы на европейское зеркало проекта.

Slow Lori — это животное, живущее в юговосточной Азии и известное своей медлительностью и размеренными движениями. По нему была названа новая DoS и DDoS атака на веб-сервер Apache.







Данный тип атаки был обнародован специалистом по безопасности RSnake 17 июня и подробно описан на странице http://ha.ckers.org/blog/20090617/slowloris-http-dos



Атака заключается в очень медленной посылке все новых и новых HTTP заголовков в рамках одного HTTP запроса, никогда его не завершая.



Поскольку Apache выделяет ресурсы для запроса очень рано, то на один такой запрос тратится «полноценное» кол-во ресурсов. Такое же, как и для обычного запроса.



Как известно, Apache использует для обработки запросов или процессы или смесь процессов с нитями. Использование нитей позволит отсрочить смерть, но так или иначе Apache упрется в ограничение по памяти или ограничение, заданное администратором.



Что самое неприятное, Slowlori атака не оставляет никаких следов, кроме огромного количества открытых cоединений со статусом ESTABLISHED. Не будет никаких записей даже в access_log-е.



Первоначально разработчики Apache не очень активно отреагировали на сообщение RSnake в список рассылки, ответив ему что данная атака давно известна и является минусом не самого веб-вервера, а скорее TCP-стека. Однако, в дальнейшем разработчики веб-сервера Apache зашевелились и начали активно обсуждать пути решения проблемы.



Веб-серверы основанные на state machine не подвержены данной атаке. Таким образом простейшим способом обезопасить себя от Slowlori атаки является использование двухуровневой архитектуры, когда первым на пути является веб\прокси сервер, основанный на state machine, такой как nginx.



Другими возможными решениями являются Access HTTP фильтры в FreeBSD, использование хитрых правил на файрволе, которые, в то же время, могут отсечь и легитимных медленных пользователей.



Кроме собственно изменения архитектуры, разработчики Apache согласны в необходимости внедрения более мелких, локальных таймаутов. На данный момент в Apache 2.2 реализован один обший таймаут, влияющий на практически все IO действия.



Более подробную информацию можно получить в списке рассылки httpd-dev и в пока не открытой для публичного доступа статье на LWN.

Эксперт в области информационной безопасности Роберт Хансен (Robert Hansen), известный под ником RSnake, сконструировал инновационный инструмент, пригодный для проведения атак типа «Denial of Service» нового поколения.

Удаленный пользователь может произвести DoS атаку. …

Исследовательская компания Netcraft опубликовала майский отчет о количестве сайтов в интернете и серверах, на базе которых они работают.

Злоумышленник может повысить свои привилегии и вызвать отказ в обслуживании. …

Удаленный пользователь может получить доступ к важным данным. …

Удаленный пользователь может произвести XSS нападение. …

На основе около 20 туториалов, общения с поддержкой и собственного опыта я накрапал свою пошаговую инструкцию по установке сервера на Nginx и его подготовке к работе с Drupal (с более простыми системами проблем тоже не будет). Фактически, это copy/paste туториал с человеческими объяснениями, который будет полезен в первую очередь начинающим администраторам и не претендует на раскрытие всех нюансов. Итак, сейчас мы будем ставить Nginx + PHP5 (С FastCGI и XCache) + MySQL на Ubuntu.