我在Web服务器上托pipe了一堆PHP网站。 尽pipe我采取了所有的预防措施来保护所有的港口,但80港口的具体攻击仍在继续。 我想禁止任何在任何网页上有活跃兴趣的IP地址,而不是一小时内说200或一分钟内15。 我假设一个用户不能在一分钟内冲浪15页,除非他的理由确实值得怀疑。 理想情况下,我希望将IP地址login到禁止的数据库中,并且对于属于我的客户端的那些IP地址也具有白名单IP地址。 有没有现成的工具可以做到这一切。 我看到了fail2ban,它没有达到目的…
TL;博士: 如何阻止chrome拒绝加载被OpenDNS阻止的页面,而服务器已经明确请求了HTTPS? 长问题: Chrome在我的组织中遇到了很大的问题。 我使用DNS来pipe理网站拦截,对于不适合的网站,对我这样做的组织来说可能是一个风险。 我只想通过networking使用Chrome浏览器,因为Internet Explorer与我们使用的一些网站存在兼容性问题(我们无法改变这一点,或者使用不同的网站)。 因此使用Internet Explorer不是一个解决scheme。 我不想安装不同的浏览器,原因有很多。 主要是因为重写我们使用的定制插件的困难。 不过,最近我遇到了很多Chrome SSL错误的问题。 我不能使用我的自定义OpenDNS块页面,它使用联系表单来请求解除阻止。 Chrome通常会阻止要求HTTPS的网站OpenDNS(一个很好的例子是Facebook)。 一些网站,如https://internetbadguys.com (OpenDNS示例)这意味着chrome拒绝加载阻止页面,解释该网站被阻止。 相反,他们经常打电话给IT支持,但是他们想要一个解决scheme,因为他们厌倦了大量的SSL错误。 我试图寻找方法来解决这个问题。 我努力了: 键入“继续”。 这没有用。 键入“继续”,按回车。 没有工作 我无法从Chrome浏览器中findnetworking钓鱼和反恶意软件。 不使用HTTPS。 但是在大多数站点上都会自动redirect到HTTPS。 所以错误不断出现。 检查我的时钟。 他们是对的。 有没有人有关于如何禁用,绕过或解决这个“function”的想法? 编辑:这是我正在谈论的一个例子 – 我发现在谷歌图片。 注意:我不会阻止Google。 编辑2:我的时钟是正确的。 我也不能停止使用OpenDNS。
我们的NFS共享文件系统正在locking。 请随时提出您认为相关的任何问题。 🙂 当时在“磁盘睡眠”状态下有很多进程,而且我们的机器上的负载平均值是天上的。 这些机器对SSH有反应,但是我们的大多数网站(apache + mod_php)只是挂起,就像我们的电子邮件系统(exim + dovecot)一样。 任何不需要写入文件系统的网站都可以继续运行。 负载平均值继续上升,直到达到某种超时值,但至less需要10-15分钟。 我已经看到加载平均值超过800,但机器仍然对不需要写入共享文件系统的操作做出响应。 我一直在调查各种各样的选项,这些选项都变成了红鲱鱼:nagios,proftpd,bind,cron任务。 我在文件服务器的系统日志中看到这些消息: 七月30 09:37:17 fs0内核:[1810036.560046] statd:服务器本地主机没有响应,超时 7月30日09:37:17 fs0内核:[1810036.560053] nsm_mon_unmon:rpc失败,状态= -5 7月30日09:37:17 fs0内核:[1810036.560064] lockd:无法监视node2 七月30 09:38:22 fs0内核:[1810101.384027] statd:服务器本地没有响应,超时 7月30日09:38:22 fs0内核:[1810101.384033] nsm_mon_unmon:rpc失败,状态= -5 7月30日09:38:22 fs0内核:[1810101.384044]locking:无法监视node0 涉及的软件: VMWare,Debian lenny(64位),古代红帽(32位)(我相信是第七版),Debian etch(32位) NFS,apache2 + mod_php,exim,dovecot,bind,amanda,proftpd,nagios,cacti,drbd,heartbeat,keepalived,LVS,cron,ssmtp,NIS,svn,puppet,memcache,mysql,postgres Joomla!,Magento,Typo3,Midgard,Symfony,自定义的PHP应用程序
背景 我在使用基于xen的服务器时遇到了严重的问题,这是在客户分区上。 这是一个半虚拟化的CentOS 5.5。 我不确定是硬件还是软件相关,还是介于两者之间(驱动程序)。 基本信息 更新的控制器固件(这是作为最后一步完成的) Smart Array 6i in Slot 0 Hardware Revision: Rev B Firmware Version: 2.84 更新的内核 Linux domU 2.6.18-194.32.1.el5xen #1 SMP Wed Jan 5 19:32:33 EST 2011 i686 i686 i386 GNU/Linux 问题在于磁盘写入速度。 基线performance是 dom0〜30MB / s domU〜4MB / s(小文件) domU〜1.5MB / s(大文件) 在networking上复制大文件时,从顶部取下列数字。 如果我再次复制文件速度相对于平均负载下降。 所以第二次是第一次的速度的一半。 这之后需要一些时间来冷静下来。 负载平均值缓慢下降,直到再次可用。 ls /大约需要30秒。 top […]
我正在看我的Apache访问日志,并有几个IP范围的可疑活动。 他们的共同之处在于它们全部被识别为“Allegro-Software-WebClient / 4.07”。 有没有办法让我创build一个apf或类似的规则将做到: DROP ALL CLIENTS IF NAME STARTS WITH "Allegro"
我有一个访问远程IP地址范围的自定义应用程序,例如206.0.0.0 – 206.255.255.255,这是基于UDP的stream量。 问题是,Sonicwall NSA已被configuration为阻止所有基于代理的访问,并将此stream量检测为“PROXY-ACCESSencryption密钥交换 – UDP随机encryption(UltraSurf)sid = 7”,并阻止该应用程序。 我将如何去获得这个stream量未经过滤的访问该IP范围? 我尝试添加地址对象的范围,并创build一个访问规则,以允许它通过,但它似乎仍然被阻止。 欢迎任何帮助,谢谢。
几天前,我把网上新的门户网站,我自己做的CMS。 发生的问题如下:pipe理员login到CMS,发布一些消息,然后他根本无法访问门户(整个域不能访问他)。 然后,他试图通过手机访问它,他成功了…但只有几分钟,因为在发布了几个消息之后,他再也不能访问域名了。 这发生在门户启动的几天。 然后,等待域的第二个小时后,可以访问,然后再次相同的问题…我认为这可能是一些身体上的问题,因为那天晚上是暴风雨,所以我安慰自己。 但问题在昨天和昨天开始重复,当他重新启动他的路由器,然后立即域访问。 他再次发表了几个消息,然后又被封锁了。 重新启动路由器(获得新的IP)临时解决了这个问题。 我不明白的是,我没有被阻止,因为我试图做所有他在CMS做的事情,但它并没有影响到我。 有没有可能,他的IP被服务器阻止,因为我编程这个CMS时发生了一些错误。 我用了很多jquery(ajax)和php。 当通过Firefox访问这是错误的(原来在克罗地亚,所以我会尝试翻译):Litteraly翻译,第一句话是这样的:“链接是坏的”,但我认为软件翻译不好,它可能是“连接无法build立“。 – 本文件不包含任何数据。 此页面暂时不可用或太忙。 在一会儿再试一次。 如果您无法加载任何页面,请检查您的networking设置。 如果您的计算机受到防火墙或代理的保护,请检查Firefox是否具有访问Internet的权限。 他尝试使用Firefox和Internet Explorer。 它在共享一个连接到互联网的2台电脑上进行了testing。 手机使用它自己的互联网连接。 服务器使用Apache 2.2.11(Unix)。 这是从错误日志我发现,他的IP地址: [Sat Oct 17 13:29:16 2009] [error] [client 212.15.176.191] File does not exist:/home2/sinjcom/public_html/406.shtml,referer:http://www.sinj.com.hr/ administracija /的index.php?链接=新闻 [Sat Oct 17 13:28:38 2009] [error] [client 212.15.176.191] File does not exist:/home2/sinjcom/public_html/406.shtml,referer:http://www.sinj.com.hr/ administracija /的index.php?链接=新闻 [Sat Oct […]
客户要求我安装Windows 2008 SBS来阻止和login他们将提供的列表中的网站。 据我所知,他们只有标准版,这意味着我不能使用ISA。 我正在考虑使用对Active Directory进行身份validation的鱿鱼。 没有额外的软件的预算。 是否有人知道使用开源软件或Windows 2008 SBS中提供的软件的不同/更好的解决scheme? 谢谢
作为过滤潜在有害stream量的一部分,我目前拒绝了$ _SERVER [“HTTP_ACCEPT”]为空的stream量。 我从我的日志中注意到,有相当多的请求被拒收,因为accept header是空的,有些请求在请求favicon.ico时来自有效的IPstream量。 我目前阻止这些favicon.ico请求与“403禁止”(我知道我应该可能使用406不可接受)。 我的网站上有一个favicon.ico。 我知道favicon.ico“找不到”的错误是用户看不到的。 我阻止这些页面,还是会看到403 Forbidden页面? 我想自己testing这个,但我不知道如何生成一个空头标页的请求。 也许如果有人有办法做到这一点,这将有所帮助。 感谢您的input。
在我的组织中,我想确保所有服务器只能从内部访问。 唯一的例外是邮件和networking服务器。 什么是最好的方法来做到这一点? 我自己的build议是阻止所有传入的stream量通过“iptables”,除了邮件和networkingstream量(和SSH)这是最好的办法做到这一点,还是有什么更好的build议吗? 谢谢! 编辑:我发现了一个非常类似于我们的拓扑: