Блог вебмастера » apache

Отказ в обслуживании в mod_proxy_ftp в Apache

admin — Sat, 05 Sep 2009 23:36:00 +0000

Удаленный пользователь может произвести DoS атаку. …

Атака на Apache

admin — Fri, 28 Aug 2009 20:14:00 +0000

Сайт проекта Apache Software Foundation был выведен на несколько часов в офлайн после того как было обнаружено проникновение в результате утечки SSH-ключа. Сайт восстановил работу после изменений в DNS, направляющих пользовательские запросы на европейское зеркало проекта.

Информационная безопасность / Slow Lori атака на веб-сервер Apache

admin — Fri, 26 Jun 2009 12:30:18 +0000

Slow Lori — это животное, живущее в юговосточной Азии и известное своей медлительностью и размеренными движениями. По нему была названа новая DoS и DDoS атака на веб-сервер Apache.

Данный тип атаки был обнародован специалистом по безопасности RSnake 17 июня и подробно описан на странице http://ha.ckers.org/blog/20090617/slowloris-http-dos

Атака заключается в очень медленной посылке все новых и новых HTTP заголовков в рамках одного HTTP запроса, никогда его не завершая.

Поскольку Apache выделяет ресурсы для запроса очень рано, то на один такой запрос тратится «полноценное» кол-во ресурсов. Такое же, как и для обычного запроса.

Как известно, Apache использует для обработки запросов или процессы или смесь процессов с нитями. Использование нитей позволит отсрочить смерть, но так или иначе Apache упрется в ограничение по памяти или ограничение, заданное администратором.

Что самое неприятное, Slowlori атака не оставляет никаких следов, кроме огромного количества открытых cоединений со статусом ESTABLISHED. Не будет никаких записей даже в access_log-е.

Первоначально разработчики Apache не очень активно отреагировали на сообщение RSnake в список рассылки, ответив ему что данная атака давно известна и является минусом не самого веб-вервера, а скорее TCP-стека. Однако, в дальнейшем разработчики веб-сервера Apache зашевелились и начали активно обсуждать пути решения проблемы.

Веб-серверы основанные на state machine не подвержены данной атаке. Таким образом простейшим способом обезопасить себя от Slowlori атаки является использование двухуровневой архитектуры, когда первым на пути является веб\прокси сервер, основанный на state machine, такой как nginx.

Другими возможными решениями являются Access HTTP фильтры в FreeBSD, использование хитрых правил на файрволе, которые, в то же время, могут отсечь и легитимных медленных пользователей.

Кроме собственно изменения архитектуры, разработчики Apache согласны в необходимости внедрения более мелких, локальных таймаутов. На данный момент в Apache 2.2 реализован один обший таймаут, влияющий на практически все IO действия.

Более подробную информацию можно получить в списке рассылки httpd-dev и в пока не открытой для публичного доступа статье на LWN.

Для проведения DoS-атаки на сервер Apache достаточно ресурсов одного ПК

admin — Mon, 22 Jun 2009 15:02:00 +0000

Эксперт в области информационной безопасности Роберт Хансен (Robert Hansen), известный под ником RSnake, сконструировал инновационный инструмент, пригодный для проведения атак типа «Denial of Service» нового поколения.

Отказ в обслуживании в Apache APR-util

admin — Mon, 08 Jun 2009 02:35:00 +0000

Удаленный пользователь может произвести DoS атаку. …

Netcraft: Доля Apache вновь растет (3)

admin — Thu, 28 May 2009 10:30:00 +0000

Исследовательская компания Netcraft опубликовала майский отчет о количестве сайтов в интернете и серверах, на базе которых они работают.

Уязвимости в Apache в CA ARCserve Backup (4)

admin — Tue, 19 May 2009 04:15:00 +0000

Злоумышленник может повысить свои привилегии и вызвать отказ в обслуживании. …

Раскрытие данных в Apache Tomcat JK Web Server Connector

admin — Fri, 01 May 2009 17:32:00 +0000

Удаленный пользователь может получить доступ к важным данным. …

Межсайтовый скриптинг в Apache Struts (3)

admin — Fri, 01 May 2009 13:21:00 +0000

Удаленный пользователь может произвести XSS нападение. …

Серверная оптимизация / Ссылка Сервер без Apache «с нуля». Так ли страшен Nginx?

admin — Thu, 05 Mar 2009 12:14:43 +0000

На основе около 20 туториалов, общения с поддержкой и собственного опыта я накрапал свою пошаговую инструкцию по установке сервера на Nginx и его подготовке к работе с Drupal (с более простыми системами проблем тоже не будет). Фактически, это copy/paste туториал с человеческими объяснениями, который будет полезен в первую очередь начинающим администраторам и не претендует на раскрытие всех нюансов. Итак, сейчас мы будем ставить Nginx + PHP5 (С FastCGI и XCache) + MySQL на Ubuntu.