لود سنگین سایت ها - لطفا کمک کنید

[succes]

سلام. اخیرا سرور من رو مدیر سرور اختصاصی به سرور دیگری انتقال داد و کلا سرور عوض شد (انتقال از طریق VM )

بعد از انتقال هرروز بیشتر از 10 مورد Brute-Force Attack دارم . در حالی که پورت رو هم تغییر دادم ...

کلا لود سرور هم خیلی سنگین شده و تقربیا در چند روز گذشته چندین بار سرور هنگ کرده . مشخصات سرور : رم 2 - CPU 2800 دو هسته ای ... سایت ها هم سنگین نیستن

ممکنه DDOS باشه !؟ از کجا میتونم مشکل رو پیدا کنم ؟؟

[RoobinaServer]

سلام. اخیرا سرور من رو مدیر سرور اختصاصی به سرور دیگری انتقال داد و کلا سرور عوض شد (انتقال از طریق VM )

بعد از انتقال هرروز بیشتر از 10 مورد Brute-Force Attack دارم . در حالی که پورت رو هم تغییر دادم ...

کلا لود سرور هم خیلی سنگین شده و تقربیا در چند روز گذشته چندین بار سرور هنگ کرده . مشخصات سرور : رم 2 - CPU 2800 دو هسته ای ... سایت ها هم سنگین نیستن

ممکنه DDOS باشه !؟ از کجا میتونم مشکل رو پیدا کنم ؟؟

احتمالا جای فعلی که رفتید ارزانتر نیست براتون ؟

اگر دیداس باشه چرا قبلا نبوده ؟

شما فقط آیپیتون عوض شده وگرنه همان سایت های قبلی هست.


احتمالا زیاد یا oversell زیاد هست یا روی هارد سرور اصلی فشار زیاد هست.


یا حق

[succes]

احتمالا جای فعلی که رفتید ارزانتر نیست براتون ؟

اگر دیداس باشه چرا قبلا نبوده ؟

شما فقط آیپیتون عوض شده وگرنه همان سایت های قبلی هست.


احتمالا زیاد یا oversell زیاد هست یا روی هارد سرور اصلی فشار زیاد هست.


یا حق

سلام . نه من که تغییر سرور ندادم. رو همون سرور با همون مشخصات و با همون هزینه ها هستم ! فقط مدیر سرور اختصاصی بهمون اطلاع داد که تا چند ساعت سایت ها از این سرور به سرور دیگه منتقل خواهند شد و بعدش آی پی های جدید به ما دادند.

خوب دیداس مگه مربوط به آی پی نیست ؟؟

از کجا بدونم مشکل چی هست !؟

[i-whost]

سلام . نه من که تغییر سرور ندادم. رو همون سرور با همون مشخصات و با همون هزینه ها هستم ! فقط مدیر سرور اختصاصی بهمون اطلاع داد که تا چند ساعت سایت ها از این سرور به سرور دیگه منتقل خواهند شد و بعدش آی پی های جدید به ما دادند.

خوب دیداس مگه مربوط به آی پی نیست ؟؟

از کجا بدونم مشکل چی هست !؟

نه من که تغییر سرور ندادم. رو همون سرور با همون مشخصات و با همون هزینه ها هستم ! فقط مدیر سرور اختصاصی بهمون اطلاع داد که تا چند ساعت سایت ها از این سرور به سرور دیگه منتقل خواهند شد و بعدش آی پی های جدید به ما دادند.

:| بله!

[RoobinaServer]

:| بله!

چی بله :-/

سلام . نه من که تغییر سرور ندادم. رو همون سرور با همون مشخصات و با همون هزینه ها هستم ! فقط مدیر سرور اختصاصی بهمون اطلاع داد که تا چند ساعت سایت ها از این سرور به سرور دیگه منتقل خواهند شد و بعدش آی پی های جدید به ما دادند.

خوب دیداس مگه مربوط به آی پی نیست ؟؟

از کجا بدونم مشکل چی هست !؟

خیر عزیز بستگی به نوع دیداس داره.

مورد شما باید از سمت مدیر سرورتون پیگیری بشه به پشتیبانیتون گفتید ؟ چیزی گفتند ؟

یا حق

[compiler]

سلام. اخیرا سرور من رو مدیر سرور اختصاصی به سرور دیگری انتقال داد و کلا سرور عوض شد (انتقال از طریق VM )

بعد از انتقال هرروز بیشتر از 10 مورد Brute-Force Attack دارم . در حالی که پورت رو هم تغییر دادم ...

کلا لود سرور هم خیلی سنگین شده و تقربیا در چند روز گذشته چندین بار سرور هنگ کرده . مشخصات سرور : رم 2 - CPU 2800 دو هسته ای ... سایت ها هم سنگین نیستن

ممکنه DDOS باشه !؟ از کجا میتونم مشکل رو پیدا کنم ؟؟

سلام

آیا فایروال لینوکس رو کانفیگ و فعال کردید؟! نیازی نیست خودتون rules تعریف کنید با یه منیجر مثل ُCSF یا Deflate میتونید تا حدود زیادی جلوی جملات Dos رو بگیرید
دی داس (حمله با چندین سرور و آی پی از نقاط مختلف به صورت همزمان) هم بعیده باشه چون سروری با مشخصات سرور شما و عدم آشنایی شما با حملات دی داس بعیده زیر دی داس اصلا 2 دقیقه هم دووم بیاره . سرویس های لینوکس از کار میفتن و وب سرور و MySQL دیگه قادر به سروریس دهی نخواهند بود

با این کامند ها در محیط ssh تعداد کانکشن های هر ip به سرور رو بررسی کنید و تعدادش رو اعلام کنید. اگر ip هایی با بیشتر از 200 کانکشن به سرورتون مشاهده کردید باید کمی مشکوک شید .

کد:

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

در صورت وجود همچین آی پی هایی اول موقعیت جغرافیایی آی پی رو از این آدرس در بیارید : ip2location.com . اگر خارج از کشور بود به ریسکش نمیرزه و در جا بلاک کنید هر چند ممکنه یک کاربر سمج با چیز پی ان باشه که داره سایت هاتون رو شخم میزنه ولی شرط احتیاط میگه بلاک بشه موقتا .

اگر ایران بود هم چندین بار رفرش کنید و کامند فوق رو مجددا وارد کنید . در صورت پایی نیامدن تعداد کانکشن های آی پی های ایران اون ها رو هم بلاک کنید . 200 یا 300 کانکشن به سرور از یک آی پی کلا چیز طبیعی نیست

در ضمن ممکنه اصلا حمله داسی در کار نباشه و مشکل از عدم کانفیگ صحیح وب سرور (هر چی که هست) یا سایر سرویس های سرور و لینوکس باشه

موفق باشید

[isatis7t]

بهتر است که سابقه آی پی رو بررسی کنید.
چون حملات رو روی هر سایتی انجام نمیدن
برای حمله اول باید شناسایی انجام بشه و طبق نیاز یک حمله انجام بشه همینجوری نمیان هزینه کنن برای حمله به یک سایت

مگه اینکه طرف داره تمرین می کنه

اگر به حمله مشکوک وسایتتان چیز جالبی برای هکر ها ندارد بهتر است که سابقه آی پی را بررسی کنید.
و اگر مطمئن شدید درخواست تغییر آی پی را بدهید.

یک حالت دیگر این است که در شبکه ای که شما گرفته اید نفوذ شده است و این حمله برای همه اتفاق می افتد.

باز اگر از حمله سایتتان مطمئن شدید حتما به مدیریت شرکتی که سرور را از آن خریده اید اطلاع دهید.

برای دیدن ارتباط های ناموفق می توانید از دستور lastb استفاده کنید. خیلی دستور مفیدی در لینوکس است.


برای امنیت سرورتان طبق کاری کارهایی که مس خواهید انجام دهید فایروالتان را تنظیم کنید طوری که سرویهاتان از بیرون قابل دسترسی باشند.
چون بعضی از دوستان در تنظیم فایر وال پورت سرویهایی که کاربران باید به آنها وصل شوند و سرویس بگیرند با می بندند.
تنظیم رول های فایروال هم دشوار نسیت با یک جستجوی ساده می توانید تنظیمات زیادی را پیدا کنید.

برای هر سرویسی نیز تنظیمات امنیتی جداگانه ای وجود دارد از قبیل تنظیم پورت این که چه کاربرانی اجازه دسترسی به سرویس را دارند یا چه آی پی هایی در فایل های host.allow و host.deny و ....

موفق باشید....

[succes]

سایت ها اکثرا این پیام رو میدن :

504 Gateway Time-out

---

nginx/1.0.15

[succes]

سلام

آیا فایروال لینوکس رو کانفیگ و فعال کردید؟! نیازی نیست خودتون rules تعریف کنید با یه منیجر مثل ُcsf یا deflate میتونید تا حدود زیادی جلوی جملات dos رو بگیرید

نه متاسفامه من فقط els رو نصب کردم و تنظیماتی برای کانفیگ سرور انجام ندادم ... می تونید شما سرور من رو بهینه کنید ؟ هزینه رو اعلام فرمایید ...

با این کامند ها در محیط ssh تعداد کانکشن های هر ip به سرور رو بررسی کنید و تعدادش رو اعلام کنید. اگر ip هایی با بیشتر از 200 کانکشن به سرورتون مشاهده کردید باید کمی مشکوک شید .

کد:

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

دفعه اول که کد رو زدم :
1 137.226.34.42
1 2.181.242.114
1 2.186.166.78
1 66.249.75.104
1 85.185.4.34
2 212.120.199.28
2 2.186.161.36
2 65.55.215.107
2 8.8.8.8
3 2.186.170.95
3 46.4.213.44
5 188.159.133.153
5 65.55.215.65
6 2.176.227.22
6 46.164.87.130
8 78.38.77.197
10 5.22.65.69
25 0.0.0.0
106 5.135.48.150


دفعه دوم :
1 2.186.166.78
1 46.4.213.44
1 65.55.215.106
1 85.185.4.34
1 8.8.8.8
2 137.226.34.42
2 212.120.199.28
2 2.186.161.36
2 46.164.87.130
2 65.55.215.107
3 188.159.133.153
3 2.176.227.22
3 65.55.215.65
5 2.186.170.95
8 78.38.77.197
10 5.22.65.69
25 0.0.0.0
105 5.135.48.150

سوم :


1 2.181.242.114
1 2.186.166.78
1 46.4.213.44
1 66.249.75.148
1 85.185.4.34
1 91.99.222.93
2 137.226.34.42
2 188.159.133.153
2 212.120.199.28
2 2.176.227.22
4 5.22.65.69
4 65.55.215.66
5 78.38.77.197
6 2.186.170.95
6 46.164.87.130
11 198.143.188.236
25 0.0.0.0
112 5.135.48.150

در ضمن ممکنه اصلا حمله داسی در کار نباشه و مشکل از عدم کانفیگ صحیح وب سرور (هر چی که هست) یا سایر سرویس های سرور و لینوکس باشه

فکر می کنم مشکل از همین عدم کانفیگ صحیح باشه...

[RoobinaServer]

فکر می کنم مشکل از همین عدم کانفیگ صحیح باشه...

بیشتر وقت نیست شرکت کنم در تاپیکتون دوستان هستند

فقط یک نکته :

شما که میگید منتقل شده و فقط آیپی عوض شده ربطی به کانفیگ نداره.

vm منتقل شده.


یا حق