دوستان چند وقتی همه ی سایت ها خطای دیتابیس میده، از کجا بفهمم مورد حمله قرار گرفتم؟

چه راه هایی وجود داره که بشه فهمید مورد حمله قرار گرفته یه سرور



دوستان من این دستور رو که میزنم
netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n

نتیجه ی زیر میاد، یکی برام تحلیلش میکنه؟



[root@server na]# netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n
1 127.0.0.1
1 173.194.70.19
1 217.218.254.223
1 5.237.126.215
1 Address
1 and
19 0.0.0.0
[root@server na]#

سلام

بهت پیشنهاد می کنم پورت 3306 رو ببندی . mysql مانند sql server نیست که نیاز به ریموت داشته باشه

دستور زیر رو رو بزن نتیجه رو بده ببینم

watch -n 1 'netstat -an | grep 25 | grep ESTA | wc'

slow.log را توی my.cnf فعال کن و تایمش رو بذار رو 10 ثانیه شاید یکی از یوزر هات را ابیوز می کنه

دوست عزیز یک عدد سه قسمتی می بینم که مدام تغییر میکنه! میشه کمی توضیح بدید


1 6 89
2 12 78

ولی یه نکته ی مهم، هر بار که سرورم هنگ میکنه! توی لیست آخرین بازدید همه ی سایت هام این آیپی ها مشاهده میشه

تعداد زیاید آیپی با این رنج ها
66.249.66.xxx

199.30.240.xxx

ولی شک دارم آیا اسپم باشند یا یه جور حمله

درود بر شما
دوست گرامی معمولا روی سرویس mysq; حملات DDOS نمیکنند و اینطور حملات روی پورت هایی مثل پورت 80 انجام میگردد

برای اختلالی در سیستم معمولا روی mysql حملاتی مانند Flood attacks انجام میگردد که میتوانید با نصب اسکریپت هایی مانند mtop وضعیت کوئری های درخواستی به سرور را بررسی نمایید

دوستان من این دستور رو که میزنم
netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n

نتیجه ی زیر میاد، یکی برام تحلیلش میکنه؟

[root@server na]# netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n
1 127.0.0.1
1 173.194.70.19
1 217.218.254.223
1 5.237.126.215
1 Address
1 and
19 0.0.0.0

اینجا باری روی سرور شما نیست. هنگام وقوع DDoS تعداد کانکشن های IPهای مهاجم باید غیرمعمول و بالا باشه

سرورتون نیاز به
tunning & optimization داره

درود بر شما
دوست گرامی معمولا روی سرویس mysq; حملات DDOS نمیکنند و اینطور حملات روی پورت هایی مثل پورت 80 انجام میگردد

برای اختلالی در سیستم معمولا روی mysql حملاتی مانند Flood attacks انجام میگردد که میتوانید با نصب اسکریپت هایی مانند mtop وضعیت کوئری های درخواستی به سرور را بررسی نمایید

خود mtop هم بخشی از منابع رو اشغال میکنه و این برای سروری که زیر اتک باشه حتی 1 مگ رم هم غنیمته .
با خروجی دائم و general log و tail شدنش راحت تر میشه diagnose کرد .



دوست عزیز یک عدد سه قسمتی می بینم که مدام تغییر میکنه! میشه کمی توضیح بدید


1 6 89
2 12 78

ولی یه نکته ی مهم، هر بار که سرورم هنگ میکنه! توی لیست آخرین بازدید همه ی سایت هام این آیپی ها مشاهده میشه

تعداد زیاید آیپی با این رنج ها
66.249.66.xxx

199.30.240.xxx

ولی شک دارم آیا اسپم باشند یا یه جور حمله

محدوده آی پی هایی که با 66 شروع میشن معمولا از طرف اسپایدرهای گوگل میان ( البته ممکنه استثنا هم داشته باشه )

من این رنج های آیپی رو توی فایروالم مسدود کردم

66.249.66.0/24
199.30.240.0/24

اگه برای اسپایدر گوگله که برم دوباره فعالشون کنم، چون کلی روی سئوی سایت هام کار کردم

بعد یه سوال؟ مگه اسپایدر های گوگل مثل یه بازدید کننده سایت رو می بینند که وبگذر هم نشونشن میده

من این رنج های آیپی رو توی فایروالم مسدود کردم

66.249.66.0/24
199.30.240.0/24

اگه برای اسپایدر گوگله که برم دوباره فعالشون کنم، چون کلی روی سئوی سایت هام کار کردم

بعد یه سوال؟ مگه اسپایدر های گوگل مثل یه بازدید کننده سایت رو می بینند که وبگذر هم نشونشن میده

66.249.66.0 IP Address WHOIS | DomainTools.com (http://whois.domaintools.com/66.249.66.0)
United States Mountain View Google Inc.

این محدوده که گوگل هست .