suhosin configured request variable name length limit exceeded

Заблокировал через .htaccess но странно как-то.

Закинь куда нибудь полный лог, айпишки можешь затереть.
Вдруг это какая то хитрая дыра в mediawiki. :)

Но вообще 99.99% это нормальный легитимный запрос.
Просто его сухозин зарезает.

64.13.232.43 - - [07/Feb/2012:05:38:46 +0700] «GET /index.php?title=sitemainepagename&action=edit&oldid=256//skins/common/IEFixes.js?301//skins/common/IEFixes.js?301//skins/common/IEFixes.js?301//skins/common/wikibits.js?301//skins/common/wikibits.js?301//load.php?debug=false&lang=ru&modules=startup&only=scripts&skin=monobook&*//load.php?debug=false&lang=ru&modules=site&only=scripts&skin=monobook&*//skins/common/IEFixes.js?301 HTTP/1.1» 200 26823 "-" «PHP Spam Karma 2 Check»

Что за странный user agent ничего не нашел, есль плагин для wordpress с походим названием, пока сделал правило в .htaccess чтобы все с таким отправлялись на один сайтик для плохих людей. Думаю что это какой-то валидатор, но с другой стороны почему он тогда пытается делать один и тот же запрос.

.htaccess лучше не пользоватся. в случае хитрого DOSа (с одной буквой, у вас ведь не распределнка, раз залочили айпишник) - нагрузка куда выше чем от iptables.
и вобще перепишете случайно с высшим приоритетом например. я бы(если позволяет возможность) добавил дроп по Name в iptables - до окончательного выяснения что это, если запрос содержит уникальную комбинацию символов. И от айпи бы не зависило и железно бы фильтровало.

+ производительность не страдала.

Кстати хорошая идея, просто я по запросам еще не фильтровал. Только по виду трафика.

Атаки продолжаются. Чуть больше 200 ip. user-agent стал меняться периодично, вопрос в другом как проще и грамотней сразу блокировать ip'шки с алертов suhosin. Пока представляются и нагуглись 3 решение:

fail2ban, от использование которого я бы отказался

Bash cкрипт в кроне такого вида, который не работает:

#!/bin/bash
ip=`grep suhosin /var/log/messages | grep attacker | grep -v 127.0.0.1 | egrep -o '([0-9]{1,3}\.){3}[0-9]{1,3}' | uniq -c | sort -nr | tail -1 | awk '{print$2}'`iptables -I INPUT -s $ip -j DROP

Выполнять php скрипт указанный в suhosin.filter.action, который бы блокировал ip, но не доверять же такое php скрипту

На скорую руку делать пока ничего не хочется. Возможно есть более удобные и простые решения?

Очень простое решение.
Поищи информацию о кэшировании на стороне mediawiki или на стороне любого легковесного проксирующего сервера.
Думаю кэш сделает этот «ддос» бесполезным.

Точных решений к сожалению не подскажу.

Кеширование уже работает. Он и так бесполезен, но suhosin меня напрягает, и таки хотелось бы делать drop ip сразу же.

но suhosin меня напрягает

Неаккуратненько как-то?

Ну так закроешь это, будут долбиться в другие места.
Если сервер твой, то лучше настрой остальные сервисы и какой нибудь apparmor.
Настрой там psad, knockd.

В общем если ты думаешь, что это целенаправленный ддос, то лучше подумать о том, что на сервере можно эдакого сломать.

Все настроено, но IDS которая используется абсолютно по барабану, что выдает suhosin. Да меня больше сейчас беспокоит использование ipset ибо правила уже перевалили за 10мб, лол

Все настроено

Вау, да ты параноик.

Расскажи тогда, что настроено, вдруг я для себя что нибудь ещё найду настроить...

Секрет. Хватить флудить.

Выбрал такое решение:

#!/bin/bash
ip=`grep suhosin /var/log/syslog | grep attacker | grep -v 127.0.0.1 | egrep -o '([0-9]{1,3}\.){3}[0-9]{1,3}' | uniq -c | sort -nr | tail -1 | awk '{print$2}'`
ipset -A setname $ip