HTTPoxy Vulnerability

[pangeran1995]

coba pakai iptables :

/sbin/iptables -I INPUT -p tcp --dport 80 -m string --string "YOU HAVE BEEN HACKED" --algo kmp -j DROP

tampaknya masih
load average masih tembus di 150an heuheu

 

[GPLHosting]

tampaknya masih
load average masih tembus di 150an heuheu

Coba ganti algoritma-nya jadi bm (Boyer-Moore) :

/sbin/iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "YOU HAVE BEEN HACKED" -j DROP

 

[mas.satriyo]

Pakai KLoxo-MR, yang begini-begini bisa kena 'kick'.

gimana cara kick-nya pak kalo pake nginx-proxy kloxomr ?

 

[paijo2]

tanya donk

apakah ini salah satu ddos http ??

# cat /usr/local/apache/logs/access_log | grep 208.83.7.181 | tail -10
208.83.7.181 - - [22/Jul/201603:37 +0200] "GET /?id=1469192657445&msg=YOU HAVE BEEN HACKED HTTP/1.0" 200 56228
208.83.7.181 - - [22/Jul/201603:37 +0200] "GET /?id=1469192657445&msg=YOU HAVE BEEN HACKED HTTP/1.0" 200 56228
208.83.7.181 - - [22/Jul/201603:38 +0200] "GET /?id=1469192658108&msg=YOU HAVE BEEN HACKED HTTP/1.0" 200 48075
208.83.7.181 - - [22/Jul/201603:38 +0200] "GET /?id=1469192658108&msg=YOU HAVE BEEN HACKED HTTP/1.0" 200 48075
208.83.7.181 - - [22/Jul/201603:38 +0200] "GET /?id=1469192658372&msg=YOU HAVE BEEN HACKED HTTP/1.0" 200 56047
208.83.7.181 - - [22/Jul/201603:38 +0200] "GET /?id=1469192658372&msg=YOU HAVE BEEN HACKED HTTP/1.0" 200 56047
208.83.7.181 - - [22/Jul/201603:39 +0200] "GET /?id=1469192659095&msg=YOU HAVE BEEN HACKED HTTP/1.0" 200 48324
208.83.7.181 - - [22/Jul/201603:39 +0200] "GET /?id=1469192659095&msg=YOU HAVE BEEN HACKED HTTP/1.0" 200 48324
208.83.7.181 - - [22/Jul/201603:39 +0200] "GET /?id=1469192659387&msg=YOU HAVE BEEN HACKED HTTP/1.0" 200 56263
208.83.7.181 - - [22/Jul/201603:39 +0200] "GET /?id=1469192659387&msg=YOU HAVE BEEN HACKED HTTP/1.0" 200 56263

saya alami ini di salah satu server yang membuat load average bengkak di atas 300.xx

ini mah http flooding biasa.. bisa dilimit kok..

 

[mustafaramadhan]

gimana cara kick-nya pak kalo pake nginx-proxy kloxomr ?

Semua sudah ada mekanisme penangkal DDOS di Kloxo-MR 7.0. Tapi, seberapa efektif kah?. Efektif tidaknya tergantung webserver yang dipakai.

Yang bikin tambah pusing kalau ada DDOS dengan tambahan header 'Proxy'! tapi server tidak dimitigasi untuk header ini.

 

[mustafaramadhan]

Coba ganti algoritma-nya jadi bm (Boyer-Moore) :

/sbin/iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "YOU HAVE BEEN HACKED" -j DROP

Kalau stringnya diganti bagaimana?.

 

[GPLHosting]

Kalau stringnya diganti bagaimana?.

Bisa om, string itu customized. Sesuai dgn kondisi yg terjadi aja.

 

[mustafaramadhan]

Bisa om, string itu customized. Sesuai dgn kondisi yg terjadi aja.

Kan jadi tidak fleksibel. Maksud saya, blok berdasarkan string tidak layak karena si attacker bisa ganti-ganti string tersebut dengan mudah.

 

[pluto01]

Setahu saya hanya litespeed yang melalukan patch

Berarti untuk saat ini panel yg sdh patch "kemungkinan" (webserver bawaan) baru Kloxo-mr yach pak, berarti untuk user kloxo-mr tinggal melakukan update kah

Saya masih belum sich, mungkin malam nanti saat sdh agak mendingan

 

[GPLHosting]

Kan jadi tidak fleksibel. Maksud saya, blok berdasarkan string tidak layak karena si attacker bisa ganti-ganti string tersebut dengan mudah.

O ya memang. Cuma buat sebagai temporary preventif koq om