درود
چند روزی هست که احساس میکنیم یکی از سرورامون از داخل خود سرور داره دیداس میشه
سرور هاست اشتراکی هست

راه درست و دقیق تشخیص اینکه ایا از داخل خود سرور ، یکی از هاست ها داره دیداس اانجام میشه چی هستش و از کجا میشه تشخیص داد مربوط به کدام هاست هست...

یکسری راه ها داخل سایت های مختلف بوده اما ظاهرا هیچ کدوم دقیق مشخص نمیکنه

لود سرور ناگهان خیلی بالا میره و بعد چند دقیقه دوباره میاد پایین میرسه به یک

اگر تجربه ای در این مورد دارید بفرمایید

سلام
هاست معمولا از داخل اسپم میشه
به هر حال شما باید هاست ها به وسیله آنتی دیداس یا آنتی اسپم و آنتی ویروس اسکن بفرمایید.
در صورتی که برنامه های مخرب پیدا کردید قرنطینه کنید یا حذف کنید مشکل حل خواهد شد.
همچنین میتونید در فایروال کشور های اتکر مثل چین و ... ببندید تا دیداس روی سرور کاهش پیدا کنه.

سلام
هاست معمولا از داخل اسپم میشه
به هر حال شما باید هاست ها به وسیله آنتی دیداس یا آنتی اسپم و آنتی ویروس اسکن بفرمایید.
در صورتی که برنامه های مخرب پیدا کردید قرنطینه کنید یا حذف کنید مشکل حل خواهد شد.
همچنین میتونید در فایروال کشور های اتکر مثل چین و ... ببندید تا دیداس روی سرور کاهش پیدا کنه.
انتی دیداس و فایروال فعاله و اسکن هم شده اما حل نشده
از چین و ... دیداس نمیشه ربطی نداره

- - - Updated - - -

مثلا وقتی تعداد کانکشن های هر ایپی به سرور رو چک میکنم ایپی خود سرور بالای 200 هست

درود
چند روزی هست که احساس میکنیم یکی از سرورامون از داخل خود سرور داره دیداس میشه
سرور هاست اشتراکی هست

راه درست و دقیق تشخیص اینکه ایا از داخل خود سرور ، یکی از هاست ها داره دیداس اانجام میشه چی هستش و از کجا میشه تشخیص داد مربوط به کدام هاست هست...

یکسری راه ها داخل سایت های مختلف بوده اما ظاهرا هیچ کدوم دقیق مشخص نمیکنه

لود سرور ناگهان خیلی بالا میره و بعد چند دقیقه دوباره میاد پایین میرسه به یک

اگر تجربه ای در این مورد دارید بفرمایید



لود سرور به عوامل زیادی بستگی دارد برای یافتن دلیل اصلی باید در زمان بالا بودن لود ، سرور را کامل مانیتور کنید .


ابتدا باید ببینید چه سرویسی در حال استفاده از منابع هست .
می توانید از دستور htop یا top c در ترمینال ssh استفاده کنید تا سرویسی که در حال مصرف بیش از حد هست مشخص شود .( از داخل WHM هم می توانید به مسیر Server Status ==> Daily Process Log بروید . آرشیو روز های قبل هم هست می توانید یوزر سایت یا سرویس مورد نظر را پیدا کنید .)
برای اسپم هم اگر سرویس exim یا /usr/sbin/sendmail بیشترین مصرف را داشتند مشکل از ارسال اسپم هست . از قسمت Email »View Sent Summary در whm می توانید یوزر اسپم دهنده را شناسایی کنید . لود بالای وب سرور یا mysql ممکن است از کانفیگ یا مشکل دیداس باشد برای چک کردن دیداس می توانید تعداد کانکشن های هر آی پی را با کد زیر بررسی کنید



netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

بعد از آن هم می توانید کانکشن های روی پورت 80 را چک کنید .



netstat -n | grep :80 |wc -l

این موارد را زمانی که لود بالا هست و زمانی که لود طبیعی هست با هم مقایسه کنید .
تعداد کانشکن ها از یک آی پی نباید از 150 بیشتر باشد ، البته این مورد بستگی به نوع کاربرد سرور و سایت ها هم دارد ولی به طور کلی دیداس ها از یک آی پی بالای 400 تا کانکشن هم زمان و مدت دار دارند یا تعداد زیادی آی پی از مکان های مختلف و عجیب غریب با کانکشن های کم به طور هم زمان به سرور متصل می شود تا بتوانند سرور را با مشکل لود مواجه کنند . این مورد ها با آنتی دیداس که دارید و کانفیگ صحیح آن قابل حل هست و حداقل با بررسی لاگ فایروال قابل شناسایی می باشد . سرور هایی که دارای کش سرور هستند روی آی پی لوکال یا آی پی سرور ممکن است 1000 تا هم کانکشن داشته باشند و دلیل بر دی داس از داخل نیست.

اگر هیچ کدام از این موارد هم نبود ممکن است مشکل سخت افزاری به خصوص مشکل رید کنترل یا هارد داشته باشید که با بالا رفتن بازدید سایت ها به صورت لحظه ای خود را نشان می دهد.

آنتی دیداس نصب کنید


مقادیر CONNLIMIT و PORTFLOOD رو داخل تنظیمات CSF به درستی ست کنید


با دستور زیر آی پی هایی که بیشتر از 200 کانکشن به سرورتون زدند رو شناسایی و به صورت دستی بلاک کنید :
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n