У меня на сервере скрипт всего лишь раз в час получал rss с news.google.com по одному запросу, в итоге через некоторое время забанили (выдавал ошибку 503, а если подменять user-agent, то просит вводить капчу).
Просто информация на случай, если будут жалобы на необновляющиеся rss новостей.
Откопал свой древний пост. Написан под жестким порывом юношеского максимализма и ЧСВ, но, думаю, смысла не утратил.
##
Не доверяйте вообще никому в интернете. Контакт в ICQ, по идее, принадлежащий вашему брату, может давно уже не принадлежать брату, хотя он об этом возможно ничего и не знает. Сейчас я не буду вдаваться в технические подробности взлома, расскажу о самых простых и самых быстрых методах.
Никогда не используйте секретные вопросы в качестве метода восстановления пароля. Это полнейший идиотизм, практически на любой вопрос можно при желании найти ответ. Если уж используете, то придумайте вопрос, формулировку и смысл ответа на него можете знать только вы (например, что-нибудь из детства). Если вы на вопрос «Любимый цвет?» выбираете ответ «а никакой», то учтите, что вы тут не самый умный ;-) Еще больший маразм ставить вопросы типа «Девичья фамилия матери». Типа сложно, ага. Берем обычную базу, купленную в метро за 80 рублей, пробиваем вас, пробиваем жителей квартиры, находим бабушку и привет. Или идем в одноклассников, находим там вашу мать (их там дох*я и больше), смотрим сообщества. Там скорее всего есть сообщество ее школы. Так вот уже в списке участников сообщества подавляющее большинство указывает свою фамилию девичью, чтобы одноклассники вкурили кто это. Вот и все, способ проверен много раз, и каким бы глупым он не был, он работает.
Не так давно встретился вопрос «нечетные четные:». Естественно, испробовал кучу разных слов и цифр, через несколько месяцев попробовал то же самое не в качестве ответа на вопрос, а как пароль. Готово.
Ответ на вопрос«Любимое блюдо» как правило занимает пару дней (по три варианта в час). Короче, секретные вопросы — самый простой способ спереть у вас все что можно. Есть почта — есть все остальное. С «номер машины:» тоже ничего сложного нет. Во-первых, ГИБДД-базы, во-вторых ГИБДД-друзья.
Социальная инженерия, учитывая уровень развития интеллекта очень большой части пользователей Сети — мощнейшее оружие. С ее помощью можно выяснить информацию от имени кошки/собаки (те же секретные вопросы) и вплоть до пароля к почте, что бы я проверил ее на вирусы (бывало и такое). Еще можно, имея в кармане аккаунты некоторых людей, от их имени написать их друзьям, например про какой-нибудь опрос. Друзьям (особенно подругам доверяют), а как я уже говорил, в таких случаях писать могут далеко не они. Следы можно вычищать, а можно и не вычищать потому, что когда выяснят что это типичный развод лохов, все пароли будут уже у того, кого надо. Так вот об опросах. Девушки, например, безумно тащатся от опросов типа «кто твой идеальный парень» или «какой цвет тебе подходит», ну или совсем маразматические типа «узнай свое счастье». То, что с такими людьми вообще вредно общаться, мы опустим. На странице с опросом помещено два поля: для электронной почты и для пароля. Почта для получения результатов, а пароль для доступа к ним. Вводят, высылают. Опрос оповещает, что результаты будут в течении дня. (иными словами, посылает нахуй) А пароли, естественно, уже летят на мэил.ру или на яндекс, меняются, пароли от вконтакта высылаются туда же, счастье, смена всего и вся, «что это за нахуй?? у меня не открываеться!!» и т.п. На опрос никто, как правило не думает, он там так мирно и висит. Для вида можно послать результаты, тогда точно не спалят. В начале прошлого лета, я таким образом получил в районе пяти сотен эл. адресов и паролей кретинов, с тех пор такой наглой чушью не занимаюсь.
Та ладно меньше, помню обычным скриптом удавалось отбивать весьма нехилые атаки (правда были запасные аэродромы в виде нескольких серверов, которые раздавали файлы).
Сразу атака ложила сайт полностью, решили с js не мудрить, просто запускать скрипт как демон, который парсит логи nginx, добавляет нужные правила в фаервол, ждет 10мс и снова парсит. Скрипт крутился по кругу, банил по 100-150 адресов в минуту (за первые 10 мин забанил, правда, больше 10К) и нормально себе отбивал атаку. Со временем фаервол помер, исправили на роуты и все. Я не знаю сколько ботов атаковало но если изначально они ложили даже 7 серверов без шансов, то после запуска скрипта посетители через время даже не замечали атаку.
1. Как организована засчита от DDOS? Стоит-ли перед серверов специализированное оборудование из серии Cisco Guard или вы по старинке парсите логи и жонглируете правами ipfw?
1. Cisco Guard в автоматическом режиме + набор статических правил. Изучение состава трафика, когда это необходимо и принятие мер. Вообще защита от атак это целая история, нажит богатейший опыт в этом деле.
И ещё можно на движке сайта сделать спец.страницу /health/, при обращении к которой средствами самого движка проводилась бы самодиагностика и вывод результатов — это более корректная проверка «лежания» mysql, чем коннект извне.
Небольшое замечание, почему в постгре нет SQL_CALC_FOUND_ROWS (что бы его не ругали). Постгря умеет использовать индексы для сортировки и выборок limit/offset, соотв. при выборке он может и не пройтись по всем полям, удовлетворяющим where.
На практике имеет смысл денормализовать по полям, которые используются в where.
Просто информация на случай, если будут жалобы на необновляющиеся rss новостей.
##
Не доверяйте вообще никому в интернете. Контакт в ICQ, по идее, принадлежащий вашему брату, может давно уже не принадлежать брату, хотя он об этом возможно ничего и не знает. Сейчас я не буду вдаваться в технические подробности взлома, расскажу о самых простых и самых быстрых методах.
Никогда не используйте секретные вопросы в качестве метода восстановления пароля. Это полнейший идиотизм, практически на любой вопрос можно при желании найти ответ. Если уж используете, то придумайте вопрос, формулировку и смысл ответа на него можете знать только вы (например, что-нибудь из детства). Если вы на вопрос «Любимый цвет?» выбираете ответ «а никакой», то учтите, что вы тут не самый умный ;-) Еще больший маразм ставить вопросы типа «Девичья фамилия матери». Типа сложно, ага. Берем обычную базу, купленную в метро за 80 рублей, пробиваем вас, пробиваем жителей квартиры, находим бабушку и привет. Или идем в одноклассников, находим там вашу мать (их там дох*я и больше), смотрим сообщества. Там скорее всего есть сообщество ее школы. Так вот уже в списке участников сообщества подавляющее большинство указывает свою фамилию девичью, чтобы одноклассники вкурили кто это. Вот и все, способ проверен много раз, и каким бы глупым он не был, он работает.
Не так давно встретился вопрос «нечетные четные:». Естественно, испробовал кучу разных слов и цифр, через несколько месяцев попробовал то же самое не в качестве ответа на вопрос, а как пароль. Готово.
Ответ на вопрос«Любимое блюдо» как правило занимает пару дней (по три варианта в час). Короче, секретные вопросы — самый простой способ спереть у вас все что можно. Есть почта — есть все остальное. С «номер машины:» тоже ничего сложного нет. Во-первых, ГИБДД-базы, во-вторых ГИБДД-друзья.
Социальная инженерия, учитывая уровень развития интеллекта очень большой части пользователей Сети — мощнейшее оружие. С ее помощью можно выяснить информацию от имени кошки/собаки (те же секретные вопросы) и вплоть до пароля к почте, что бы я проверил ее на вирусы (бывало и такое). Еще можно, имея в кармане аккаунты некоторых людей, от их имени написать их друзьям, например про какой-нибудь опрос. Друзьям (особенно подругам доверяют), а как я уже говорил, в таких случаях писать могут далеко не они. Следы можно вычищать, а можно и не вычищать потому, что когда выяснят что это типичный развод лохов, все пароли будут уже у того, кого надо. Так вот об опросах. Девушки, например, безумно тащатся от опросов типа «кто твой идеальный парень» или «какой цвет тебе подходит», ну или совсем маразматические типа «узнай свое счастье». То, что с такими людьми вообще вредно общаться, мы опустим. На странице с опросом помещено два поля: для электронной почты и для пароля. Почта для получения результатов, а пароль для доступа к ним. Вводят, высылают. Опрос оповещает, что результаты будут в течении дня. (иными словами, посылает нахуй) А пароли, естественно, уже летят на мэил.ру или на яндекс, меняются, пароли от вконтакта высылаются туда же, счастье, смена всего и вся, «что это за нахуй?? у меня не открываеться!!» и т.п. На опрос никто, как правило не думает, он там так мирно и висит. Для вида можно послать результаты, тогда точно не спалят. В начале прошлого лета, я таким образом получил в районе пяти сотен эл. адресов и паролей кретинов, с тех пор такой наглой чушью не занимаюсь.
Сразу атака ложила сайт полностью, решили с js не мудрить, просто запускать скрипт как демон, который парсит логи nginx, добавляет нужные правила в фаервол, ждет 10мс и снова парсит. Скрипт крутился по кругу, банил по 100-150 адресов в минуту (за первые 10 мин забанил, правда, больше 10К) и нормально себе отбивал атаку. Со временем фаервол помер, исправили на роуты и все. Я не знаю сколько ботов атаковало но если изначально они ложили даже 7 серверов без шансов, то после запуска скрипта посетители через время даже не замечали атаку.
2. Используется-ли mod_security для apache?
2. Не используется
И ещё можно на движке сайта сделать спец.страницу /health/, при обращении к которой средствами самого движка проводилась бы самодиагностика и вывод результатов — это более корректная проверка «лежания» mysql, чем коннект извне.
На практике имеет смысл денормализовать по полям, которые используются в where.