Grind

Несколько основных моментов настройки apache+php, которые сделают ваш веб-сервер существенно устойчивым к шеллам. На примере debian /etc/apache2/conf.d/security # скрываем информацию об установленной ОС, версии веб-сервера, модулях и прочую информацию, # которая может помочь взломщику в определении уязвимостей веб-сервера ServerTokens Prod ServerSignature Off # Запрещаем апачу какие-либо действия с файлами вне разрешенной зоны # пусть директория с сайтами будет /var/www <Directory /> Order Deny,Allow Deny from all </Directory> <Directory /var/www> Order Allow,Deny Allow from all </Directory> # Отключаем выполнение скриптов CGI и листинг папок Options -ExecCGI -Indexes /etc/php5/apache2/php.ini # По умолачанию PHP готов рассказать всему миру о том какая у него версия, какие модули и прочую # информацию, которая может быть полезна вломщику в поиску уявимостей. Поэтому мы это отключим expose_php = Off # Этот параметр основная причина шеллов. Запретим PHP открывать соединения с внешними серверами. allow_url_fopen = Off # Запретим PHP доступ в какие-либо места, кроме папки с сайтами, и папки для временных файлов open_basedir = /var/www/:/tmp/ # Если же шелл всетаки как-то попал на наш сайт, делаем невозможным его функционирование, путем отключения # небезопасных функций php disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig, pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority, exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,escapeshellarg,escapeshellcmd,ini_alter,proc_close, proc_get_status,proc_nice,proc_terminate,symlink

Мы рассматриваем бесплатный вариант. Если рассматривать платный вариант, то можно купить просто pro или busness тариф на CloudFlare.

Для тех кто не хочет заворачиваться с заливкой сайта, можно в 1 клик поставить Wordpress или Drupal.

Кстати на openshift ко всему прочему доступна rhc-консоль для управления облаком и ssh-консоль. C разбегу прокинуть navicat через ssh-туннель у меня не вышло, но йух с ним, есть phpMyAdmin. PHP, mysql - дале не весь спектр фишек облачного хостинга приложений REd Hat jboss, tomcat, phyton, django, ruby ну все возможные базы данных от MySQL и PostgreSQL, до MongoDB

никакой схожести в работе с ddos-guard нет хабр читаю регулярно ношу обычные очки

Microsoft Windows [Version 6.1.7601] © Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены. C:\Users\ARTEM>ping grind-team.com Обмен пакетами с grind-team.com [141.101.116.195] с 32 байтами данных: Ответ от 141.101.116.195: число байт=32 время=86мс TTL=52 Ответ от 141.101.116.195: число байт=32 время=69мс TTL=52 Ответ от 141.101.116.195: число байт=32 время=67мс TTL=52 Ответ от 141.101.116.195: число байт=32 время=94мс TTL=52 Статистика Ping для 141.101.116.195: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 67мсек, Максимальное = 94 мсек, Среднее = 79 мсек C:\Users\ARTEM>

Будет grind-team.com

Оказывается IP хоста без www тоже будет скрыт CND CloudFlare.

Я не буду ничего говорить, администрируйте свои HTTP дальше xD Разница в том, что это два разных физических хоста хотя бы.

Понятно, на лицо необразованное чучело. Давай расскажи инженеру по специальности вычислительные машины, комплексы, системы и сети, - что и как должно быть.

C:\Users\ARTEM>ping www.grind-team.com Обмен пакетами с cf-protected-www.grind-team.com [141.101.116.195] с 32 байтами данных: Ответ от 141.101.116.195: число байт=32 время=73мс TTL=52 Ответ от 141.101.116.195: число байт=32 время=73мс TTL=52 Ответ от 141.101.116.195: число байт=32 время=71мс TTL=52 Ответ от 141.101.116.195: число байт=32 время=75мс TTL=52 Статистика Ping для 141.101.116.195: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 71мсек, Максимальное = 75 мсек, Среднее = 73 мсек C:\Users\ARTEM> тут проверить можно IP http://whois-service.ru/lookup/ 141.101.117.195 Вот результат: inetnum: 141.101.112.0 - 141.101.119.255 netname: CLOUDFLARE-EU descr: CloudFlare CDN network country: EU admin-c: CAC80-RIPE tech-c: CTC6-RIPE status: ASSIGNED PA mnt-by: MNT-CLOUDFLARE mnt-lower: MNT-CLOUDFLARE mnt-routes: MNT-CLOUDFLARE source: RIPE # Filtered

пингани www.grind-team.com - получишь IP DNS CloudFlare А grind-team.com можешь ддосить - там сайта нет. Сайт будет всеравно доступен на www.grind-team.com

А причем тут это? Мы не пользуемся защитой от DDoS CloudFlare мы юзаем их распределенную сеть DNS чтобы прикрыть им свой хост. А вот свои DNS они уже будут защищать любой ценой.

Во всяком случаи это защита будет в несколько раз лучше чем всякие ddos-guard/pro-managed/stormwall. Касательно сайта.

Для этого есть кнопка Purge Cache - очистит кеш мгновенно. Или можно включить временно режим разработчика там же в кабинете. Чтобы поработать с сайтом. И плюс ко всему, вовсе не обязательно ставить сильное кеширование - все настраивается.

Это было 1 раз 15 сентября 2012 года. Мощность атаки составляла 65 Gbps.

CloudFlare имеет распределенную сеть DNS и специализируется на защите от DDoS, чтобы положить ваш сайт, злоумышленнику придеться положите все DNS CloudFlare. А это один из мировых лидеров по защите сайтов от DDoS.

http://www.grind-team.com сделан по этой схеме

Итак, раскрываю огромный секрет, о том как разместить свой сайт в интернете и обеспечить его защитой от DDoS, да еще все это сделать бесплатно. Для начала нам потребуется софт: WinSCP - для работы с файлами на хостинге http://winscp.net/eng/download.php PuTTYgen - для генерации ключей SSH http://www.chiark.gr...y/download.html 1. Регистрируемся на http://www.cloudflare.com - это CDN сервис, с очень множеством плюшек, от защиты от ботов, до оптимизации доступности сайта по географии за счет распределенной сети DNS. Он будет обеспечивать защиту вашего сайта от DDoS и даже показывать его кешированную версию, в случаи если live версия не доступна. 2. Регистрируемся на http://www.openshift.com - это профессиональный облачный хостинг от Red Hat, он совершенно бесплатно предлагает набор приложений (картриджей) в своем облаке и снабжает доступность приложений через свои домены 3-его уровня. На нем мы будем поднимать хостинг. 3. Этот пункт не обязателен. Потребуется только в качестве редиректа домена без www на домен с www. я использовал бесплатный vds от http://host1free.com на котором поднял apache и редиректил с помощью .htaccess Redirect / http://www.grind-team.com 1. Делегируемся NS адреса своего домена на CloudFlare dave.ns.cloudflare.com rita.ns.cloudflare.com 2. Настраиваем два основных параметра для домена. 3. Создаем в openshift приложение, и включаем туда 3 катриджа. php, mysql, phpmyadmin 4. В openshift вам датут домен 3-его уровня, его мы будем использовать для CNAME записи на DNS CloudFlare вот таким образом: цифрой 1 обозначен IP нашего муляжа, где стоит редирект домена без www на www. Предполагается, что мы будем распространять везде ссылку на сайт с www например www.grind-team.com, но для особых ракалов, которые будут заходить без www мы и делаем этот редирект. Даже если этот муляж-хост заддосят, современные браузеры кешируют настройки веб-сервера (в нашем случаи htaccess) и юзер попав на заддошенный муляж, будет всеравно редиректен на сайт с www. 5. Это все были цветочки, теперь будет хардкор. Добавляем в openshift домен с www в качестве аллиса для домена 3его уровня который нам выдали под наше облачко. теперь наш перложение доступно по адресу www.grind-team.com и редиректиться с grind-team.com на www.grind-team.com c помощью мулежа хоста 6. Как залить файлы на хост? Генерируем ключ с помощью PuTTYgen Добавляем то что выделено в кабинете openshift 7. Настраиваем WinSCP для работы с хостингом Ваш логин ssh: все что после // и до @ ваш хост - домен 3-его уровня что вам выдала система при создании приложения ваш пароль - пароль от кабинета openshift укажите приватный ключ, который вы сгенерировали Подключайтесь.. Ваш адрес с www ведет на ваш хостинг в облаке openshift и полностью защищен CloudFlare, узнать реальный IP вашего домена с www будет невозможно, будет показан один из IP DNS сервера CloudFlare. Домен без www видет на муляж хоста, где стоит редирект на www, даже если муляж заддосят, вам это не важно, ваш не там, а у openshift. Просто распространяйте везде в рекламе и на различных ресурсах адрес сайта с www. Ваш сайт работает в высокопроизводительном облаке Rad Hat на фиременном оборудование кампании под управленеим ОС Rad Hat Enterprise, обеспечивая ваш сайт высокой производительностью. Писал на скорую руку, будет что-то не получать, спрашивайте. Пример сайта сделанного по этой инструкции http://www.grind-team.com

http://forummaxi.ru/index.php?showtopic=43144&hl=

Школьникам и прочим левакам не смешно, для них это обычные вещи. А мне смешно. С лушай малой поговорим в скайпе? Подкину на пивко. (не реклама)

"слушай малой поговорим в скайпе?" - Обычно, употребляется лицами из средних образовательных учреждений, когда заканчиваются аргументы или начинаются трудности измышления. Как правило, данный вопрос не сопровождается непосредственно контактом skype, т.к. на самом деле, употребивший не предполагает связь с тем, кому он адресует этот вопрос.

http://risovach.ru/upload/2012/05/comics_Derzkij-shkolnik_orig_1337891346.jpg

В этой теме, я буду публиковать словосочетания и различные речевые обороты из лексикона обывателей нашего форума, чтобы люди с образованием выше среднего, могли адаптироваться и общаться на уровне с остальными участниками. "на пивко" - Неустановленная сумма денежных средств, используется как мера платы за оказание каких-либо услуг. Чаще всего употребляется лицами не имеющими денежных средств или лицами проходящими обучение в средних образовательных учреждениях. "не реклама" - Данный речевой оборот употребляется после каждой интернет-ссылки на форуме, чаще всего, в том контексте, в котором употребление этого оборота не уместно. В силу того, что лица, проходящие обучение в средних образовательных учреждениях, не в состоянии определять уместность употребление данного оборота в том или ином контексте, он употребляется повсеместно. * Есть мнение, что таким образом можно рекламировать любые внешние ресурсы, достаточно написать после ссылки "не реклама". Будет дополняться...

открыты предварительная регистрация новых newTLD доменов https://www.webnames.ru/new_tld_main.pl Я успел занять: lineage2.world lineage2.website lineage2.web lineage2.online lineage2.news lineage2.moscow lineage2.live lineage2.hot lineage2.hosting lineage2.game lineage2.free lineage2.forum lineage2.blog