نمایش نسخه قابل چاپ
سلام. اخیرا سرور من رو مدیر سرور اختصاصی به سرور دیگری انتقال داد و کلا سرور عوض شد (انتقال از طریق VM )
بعد از انتقال هرروز بیشتر از 10 مورد Brute-Force Attack دارم . در حالی که پورت رو هم تغییر دادم ...
کلا لود سرور هم خیلی سنگین شده و تقربیا در چند روز گذشته چندین بار سرور هنگ کرده . مشخصات سرور : رم 2 - CPU 2800 دو هسته ای ... سایت ها هم سنگین نیستن
ممکنه DDOS باشه !؟ از کجا میتونم مشکل رو پیدا کنم ؟؟
نقل قول:
نوشته اصلی توسط succes
احتمالا جای فعلی که رفتید ارزانتر نیست براتون ؟
اگر دیداس باشه چرا قبلا نبوده ؟
شما فقط آیپیتون عوض شده وگرنه همان سایت های قبلی هست.
احتمالا زیاد یا oversell زیاد هست یا روی هارد سرور اصلی فشار زیاد هست.
یا حق
سلام . نه من که تغییر سرور ندادم. رو همون سرور با همون مشخصات و با همون هزینه ها هستم ! فقط مدیر سرور اختصاصی بهمون اطلاع داد که تا چند ساعت سایت ها از این سرور به سرور دیگه منتقل خواهند شد و بعدش آی پی های جدید به ما دادند.نقل قول:
نوشته اصلی توسط RoobinaServer
خوب دیداس مگه مربوط به آی پی نیست ؟؟
از کجا بدونم مشکل چی هست !؟
نقل قول:
نوشته اصلی توسط succes
:| بله!نقل قول:
نه من که تغییر سرور ندادم. رو همون سرور با همون مشخصات و با همون هزینه ها هستم ! فقط مدیر سرور اختصاصی بهمون اطلاع داد که تا چند ساعت سایت ها از این سرور به سرور دیگه منتقل خواهند شد و بعدش آی پی های جدید به ما دادند.
چی بله :-/نقل قول:
نوشته اصلی توسط i-whost
خیر عزیز بستگی به نوع دیداس داره.نقل قول:
نوشته اصلی توسط succes
مورد شما باید از سمت مدیر سرورتون پیگیری بشه به پشتیبانیتون گفتید ؟ چیزی گفتند ؟
یا حق
سلامنقل قول:
نوشته اصلی توسط succes
آیا فایروال لینوکس رو کانفیگ و فعال کردید؟! نیازی نیست خودتون rules تعریف کنید با یه منیجر مثل ُCSF یا Deflate میتونید تا حدود زیادی جلوی جملات Dos رو بگیرید
دی داس (حمله با چندین سرور و آی پی از نقاط مختلف به صورت همزمان) هم بعیده باشه چون سروری با مشخصات سرور شما و عدم آشنایی شما با حملات دی داس بعیده زیر دی داس اصلا 2 دقیقه هم دووم بیاره . سرویس های لینوکس از کار میفتن و وب سرور و MySQL دیگه قادر به سروریس دهی نخواهند بود
با این کامند ها در محیط ssh تعداد کانکشن های هر ip به سرور رو بررسی کنید و تعدادش رو اعلام کنید. اگر ip هایی با بیشتر از 200 کانکشن به سرورتون مشاهده کردید باید کمی مشکوک شید .
کد:netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
در صورت وجود همچین آی پی هایی اول موقعیت جغرافیایی آی پی رو از این آدرس در بیارید : ip2location.com . اگر خارج از کشور بود به ریسکش نمیرزه و در جا بلاک کنید هر چند ممکنه یک کاربر سمج با چیز پی ان باشه که داره سایت هاتون رو شخم میزنه ولی شرط احتیاط میگه بلاک بشه موقتا .
اگر ایران بود هم چندین بار رفرش کنید و کامند فوق رو مجددا وارد کنید . در صورت پایی نیامدن تعداد کانکشن های آی پی های ایران اون ها رو هم بلاک کنید . 200 یا 300 کانکشن به سرور از یک آی پی کلا چیز طبیعی نیست
در ضمن ممکنه اصلا حمله داسی در کار نباشه و مشکل از عدم کانفیگ صحیح وب سرور (هر چی که هست) یا سایر سرویس های سرور و لینوکس باشه
موفق باشید
بهتر است که سابقه آی پی رو بررسی کنید.
چون حملات رو روی هر سایتی انجام نمیدن
برای حمله اول باید شناسایی انجام بشه و طبق نیاز یک حمله انجام بشه همینجوری نمیان هزینه کنن برای حمله به یک سایت
مگه اینکه طرف داره تمرین می کنه
اگر به حمله مشکوک وسایتتان چیز جالبی برای هکر ها ندارد بهتر است که سابقه آی پی را بررسی کنید.
و اگر مطمئن شدید درخواست تغییر آی پی را بدهید.
یک حالت دیگر این است که در شبکه ای که شما گرفته اید نفوذ شده است و این حمله برای همه اتفاق می افتد.
باز اگر از حمله سایتتان مطمئن شدید حتما به مدیریت شرکتی که سرور را از آن خریده اید اطلاع دهید.
برای دیدن ارتباط های ناموفق می توانید از دستور lastb استفاده کنید. خیلی دستور مفیدی در لینوکس است.
برای امنیت سرورتان طبق کاری کارهایی که مس خواهید انجام دهید فایروالتان را تنظیم کنید طوری که سرویهاتان از بیرون قابل دسترسی باشند.
چون بعضی از دوستان در تنظیم فایر وال پورت سرویهایی که کاربران باید به آنها وصل شوند و سرویس بگیرند با می بندند.
تنظیم رول های فایروال هم دشوار نسیت با یک جستجوی ساده می توانید تنظیمات زیادی را پیدا کنید.
برای هر سرویسی نیز تنظیمات امنیتی جداگانه ای وجود دارد از قبیل تنظیم پورت این که چه کاربرانی اجازه دسترسی به سرویس را دارند یا چه آی پی هایی در فایل های host.allow و host.deny و ....
موفق باشید....
سایت ها اکثرا این پیام رو میدن :
504 Gateway Time-out
nginx/1.0.15
نه متاسفامه من فقط els رو نصب کردم و تنظیماتی برای کانفیگ سرور انجام ندادم ... می تونید شما سرور من رو بهینه کنید ؟ هزینه رو اعلام فرمایید ...نقل قول:
نوشته اصلی توسط compiler
دفعه اول که کد رو زدم :نقل قول:
با این کامند ها در محیط ssh تعداد کانکشن های هر ip به سرور رو بررسی کنید و تعدادش رو اعلام کنید. اگر ip هایی با بیشتر از 200 کانکشن به سرورتون مشاهده کردید باید کمی مشکوک شید .
کد:netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
1 137.226.34.42
1 2.181.242.114
1 2.186.166.78
1 66.249.75.104
1 85.185.4.34
2 212.120.199.28
2 2.186.161.36
2 65.55.215.107
2 8.8.8.8
3 2.186.170.95
3 46.4.213.44
5 188.159.133.153
5 65.55.215.65
6 2.176.227.22
6 46.164.87.130
8 78.38.77.197
10 5.22.65.69
25 0.0.0.0
106 5.135.48.150
دفعه دوم :
1 2.186.166.78
1 46.4.213.44
1 65.55.215.106
1 85.185.4.34
1 8.8.8.8
2 137.226.34.42
2 212.120.199.28
2 2.186.161.36
2 46.164.87.130
2 65.55.215.107
3 188.159.133.153
3 2.176.227.22
3 65.55.215.65
5 2.186.170.95
8 78.38.77.197
10 5.22.65.69
25 0.0.0.0
105 5.135.48.150
سوم :
1 2.181.242.114
1 2.186.166.78
1 46.4.213.44
1 66.249.75.148
1 85.185.4.34
1 91.99.222.93
2 137.226.34.42
2 188.159.133.153
2 212.120.199.28
2 2.176.227.22
4 5.22.65.69
4 65.55.215.66
5 78.38.77.197
6 2.186.170.95
6 46.164.87.130
11 198.143.188.236
25 0.0.0.0
112 5.135.48.150
فکر می کنم مشکل از همین عدم کانفیگ صحیح باشه...نقل قول:
در ضمن ممکنه اصلا حمله داسی در کار نباشه و مشکل از عدم کانفیگ صحیح وب سرور (هر چی که هست) یا سایر سرویس های سرور و لینوکس باشه
نقل قول:
نوشته اصلی توسط succes
بیشتر وقت نیست شرکت کنم در تاپیکتون دوستان هستند
فقط یک نکته :
شما که میگید منتقل شده و فقط آیپی عوض شده ربطی به کانفیگ نداره.
vm منتقل شده.
یا حق