Skocz do zawartości


 

Zdjęcie

Ddos 100% obciążenie bazy - rada?

Ddos 100% obciążenie bazy - rada?

  • Proszę się zalogować aby odpowiedzieć
9 odpowiedzi na ten temat

Ddos 100% obciążenie bazy - rada?

#1 nurgiel

nurgiel

    Nowy użytkownik

  • Użytkownicy
  • 15 postów
  • Imię:D

Napisany 31 lipiec 2016 - 08:22

Yo.

Posiadam VPSa z DA (to znaczy, że nie niezbyt ogarniam te sprawy, dlatego też pytam o radę).

Od paru dni mam problem z atakiem ddos, który obciąża mi bazę na 100%

Strona leży na wordpressie.Cloudflare w tej sytuacji nie pomaga.

W firewallu ustawiłem ct_limit = 100, jednak limit połączeń też nie pomógł.

 

log z system messages + złączam minitor z bazy danych.

Jakaś złota rada?

Jul 31 08:55:22 da5106 kernel: [5206095.919033] Out of memory in UB 19379: OOM killed process 10460 (php-fpm56) score 0 vm:699036kB, rss:462424kB, swap:0kB
Jul 31 08:55:25 da5106 kernel: [5206099.049137] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=177.159.152.251 DST=188.116.4.225 LEN=46 TOS=0x08 PREC=0x20 TTL=51 ID=0 DF PROTO=UDP SPT=56936 DPT=53413 LEN=26 
Jul 31 08:55:25 da5106 kernel: [5206099.049443] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=177.159.152.251 DST=188.116.4.225 LEN=151 TOS=0x08 PREC=0x20 TTL=51 ID=0 DF PROTO=UDP SPT=56936 DPT=53413 LEN=131 
Jul 31 08:56:33 da5106 kernel: [5206166.975669] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=200.30.223.94 DST=188.116.4.225 LEN=46 TOS=0x00 PREC=0x20 TTL=50 ID=0 DF PROTO=UDP SPT=41972 DPT=53413 LEN=26 
Jul 31 08:56:33 da5106 kernel: [5206166.975973] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=200.30.223.94 DST=188.116.4.225 LEN=151 TOS=0x00 PREC=0x20 TTL=50 ID=0 DF PROTO=UDP SPT=41972 DPT=53413 LEN=131 
Jul 31 08:58:23 da5106 kernel: [5206276.403232] Out of memory in UB 19379: OOM killed process 8175 (php-fpm56) score 0 vm:715432kB, rss:479208kB, swap:0kB
Jul 31 08:59:53 da5106 kernel: [5206367.125761] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=104.255.70.247 DST=188.116.4.225 LEN=37 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=UDP SPT=51462 DPT=123 LEN=17 
Jul 31 09:00:09 da5106 kernel: [5206383.011596] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=79.91.18.15 DST=188.116.4.225 LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=56147 DF PROTO=TCP SPT=4639 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 
Jul 31 09:00:12 da5106 kernel: [5206386.023533] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=79.91.18.15 DST=188.116.4.225 LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=56148 DF PROTO=TCP SPT=4639 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 
Jul 31 09:01:21 da5106 kernel: [5206454.457761] Out of memory in UB 19379: OOM killed process 8725 (php-fpm56) score 0 vm:725676kB, rss:490488kB, swap:0kB
Jul 31 09:02:35 da5106 kernel: [5206528.299527] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=116.98.87.4 DST=188.116.4.225 LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=48163 DF PROTO=TCP SPT=34338 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul 31 09:02:38 da5106 kernel: [5206531.307973] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=116.98.87.4 DST=188.116.4.225 LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=48164 DF PROTO=TCP SPT=34338 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul 31 09:02:44 da5106 kernel: [5206537.329021] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=116.98.87.4 DST=188.116.4.225 LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=48165 DF PROTO=TCP SPT=34338 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul 31 09:03:26 da5106 kernel: [5206579.328162] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=124.131.98.62 DST=188.116.4.225 LEN=46 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=58334 DPT=53413 LEN=26 
Jul 31 09:03:26 da5106 kernel: [5206579.328471] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=124.131.98.62 DST=188.116.4.225 LEN=151 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=58334 DPT=53413 LEN=131 
Jul 31 09:03:38 da5106 kernel: [5206591.758174] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=82.207.119.19 DST=188.116.4.225 LEN=46 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=53914 DPT=53413 LEN=26 
Jul 31 09:03:38 da5106 kernel: [5206591.759449] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=82.207.119.19 DST=188.116.4.225 LEN=151 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=53914 DPT=53413 LEN=131 
Jul 31 09:03:57 da5106 kernel: [5206610.595776] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=37.203.214.106 DST=188.116.4.225 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=15037 PROTO=TCP SPT=48454 DPT=8888 WINDOW=1024 RES=0x00 SYN URGP=0 
Jul 31 09:04:26 da5106 kernel: [5206639.191922] Out of memory in UB 19379: OOM killed process 10004 (php-fpm56) score 0 vm:738216kB, rss:503152kB, swap:0kB

Załączone pliki

  • Załączony plik  1.jpg   60,95K   11 pobrań

  • 0

#2 Gość_Spoofy_*

Gość_Spoofy_*
  • Goście

Napisany 31 lipiec 2016 - 09:10

"Yo",

 

CSF + VPS z DA = good idea, ale samym iptables nic nie zrobisz - ważne jest gdzie leży ten VPS'ik.

 

1) Koniecznie odezwij się do swojego usługodawcy - jak nie pomoże, wtedy go zmień - powinien on zostawić tylko ten ruch UDP który jest niezbędny (np. 53 o ile trzymasz na tym DA swojego DNS'a), a całą resztę wypieprzyć

2) CloudFlare pewno broni Ciebie na 80 i 443 ale na całej reszcie widocznie jesteś otwarty - 188.116.4.225

3) Ustaw sobie my.cnf (percona wizard chociażby albo mysqltuner) jeżeli tak Ciebie baza obciąża, ale na Twoim miejscu zablokowałbym xmlrpc.php i zainteresował się lepszym ztweakowaniem php-fpm'a (timeout etc.)

 

Złota rada? Odezwij się do mnie, a zaoferuję Ci hosting na którym nie masz takich problemów ;)


  • 0

#3 nurgiel

nurgiel

    Nowy użytkownik

  • Użytkownicy
  • 15 postów
  • Imię:D

Napisany 31 lipiec 2016 - 09:16

1) Wczoraj o 17 napisałem i do teraz bez odpowiedzi (jak widać w weekend, dużo ludzi nie siedzi w supportcie).

3) Nie będę udawał, że wiem o czym mówisz, ale na pewno poczytam sobie o tym i się doinformuję.

 

Jeżeli support nie pomoże, ja sam sobie z tym nie dam rady, to może rzeczywiście się odezwę.

Dzięki za odpowiedź.


  • 0

#4 Gość_Spoofy_*

Gość_Spoofy_*
  • Goście

Napisany 31 lipiec 2016 - 09:25

1) Wczoraj o 17 napisałem i do teraz bez odpowiedzi (jak widać w weekend, dużo ludzi nie siedzi w supportcie).

3) Nie będę udawał, że wiem o czym mówisz, ale na pewno poczytam sobie o tym i się doinformuję.

 

Jeżeli support nie pomoże, ja sam sobie z tym nie dam rady, to może rzeczywiście się odezwę.

Dzięki za odpowiedź.

 

1) Powodzenia!

3) https://tools. percona.com/wizard + np. http://linuxbsdos.co...ge-by-about-50/

 

Oczywiście, jakbyś nie dał rady to serdecznie zapraszam ;)


Edytowany przez Spoofy, 31 lipiec 2016 - 09:25.

  • 0

#5 N0Name

N0Name

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 849 postów
  • Skąd:PL / DE
  • Firma:STYL-SPORT.pl
  • Imię:Szymon

Napisany 31 lipiec 2016 - 11:19

Serwer z tego co widzę w hitme.pl spróbuj zadzwonić do nich na tel.
  • 0

#6 nurgiel

nurgiel

    Nowy użytkownik

  • Użytkownicy
  • 15 postów
  • Imię:D

Napisany 31 lipiec 2016 - 16:24

"ataki ddos wycinane są już na naszych routerach brzegowych, czyli to co Pan posiada zapewne nie jest atakiem a bardziej zapewne liczbą połączeń do strony.

Tutaj należy zweryfikować skrypty czy to one nie otwierają lub nie zamykają Panu połączeń do bazy powodując takie użycie, sam apache dozwala 1seseje z danego adresu ip czyli nie pozwoli jednemu aresowi wykonać 10razy otwarcia tej samej strony, będzie to realizował zapytanie po zapytaniu, ładując kolejno wykonywane zdania dla danego użytkownika dopiero wówczas przechodząc do załadowania kolejnej "

 

Nie wiem, czy to żart ze strony supportu, czy chodzi o nieznane mi nazewnictwo, ponieważ jeżeli jakaś grupa osób specjalnie generuje dużą liczbę połączeń jest to jednak chyba pewien atak.

 

Cóż, odnośnie xmlrpc.php, mój webdeveloper odpisał mi, że ten skrypt był już od początku zablokowany. Zapytałem go, odnośnie tego, co spytał support, czyli owe skrypty, które mogą otwierać i zamykać połączenia.

 


  • 0

#7 dawidryba11

dawidryba11

    Czasami na forum

  • Użytkownicy
  • 49 postów

Napisany 31 lipiec 2016 - 16:30

A na co idą te ataki?
Jeśli wp-admin to może włącz na razie blokowanie wszystkich ip prócz Twojego.

Wysłane z mojego GT-S7710 przy użyciu Tapatalka
  • 0

#8 nurgiel

nurgiel

    Nowy użytkownik

  • Użytkownicy
  • 15 postów
  • Imię:D

Napisany 31 lipiec 2016 - 17:03

Nie wiem, ponieważ jak pisałem w pierwszym poście, moja wiedza jest w zakresie innej dziedziny niż konfiguracja serwerów i ich bezpieczeństwo.

Cóż, zapewne nie jest to jednorazowy atak, tak więc pozostało mi wynająć speca, który upora się z tym, by nie było takich problemów w przyszłości.

Gdy się z tym uporam, napiszę cóż to był za atak i jak, co zostało zastosowane, by rozwiązać ten problem. Może to komuś pomoże.


  • 0

#9 hemi

hemi

    Regularny użytkownik

  • Użytkownicy
  • 81 postów
  • Skąd:Elbląg
  • Imię:Marcin
  • Nazwisko:Jaworski

Napisany 31 lipiec 2016 - 17:10

Sprawdz access logi. Jeśli to atak na xmlrpc to bedziesz mial spoooooro requestów na ten plik. Sprawdz także w jaki sposob ten xmlrpc jest blokowany. Jak po stronie php (jakies IFy etc) to nie wiem czy to pomoze duzo. Sprawdz czy masz to blokowane np na poziomie htaccess.

 

Sprawdz tez w netstacie czy jakis adres się nie "wybija" ponad inne w ilości połączeń do serwera:

netstat -plan|grep :80|awk '{print $5}'|cut -d: -f 1|sort|uniq -c|sort -n

  • 0

#10 Gość_Spoofy_*

Gość_Spoofy_*
  • Goście

Napisany 31 lipiec 2016 - 19:10

"ataki ddos wycinane są już na naszych routerach brzegowych, czyli to co Pan posiada zapewne nie jest atakiem a bardziej zapewne liczbą połączeń do strony.

Tutaj należy zweryfikować skrypty czy to one nie otwierają lub nie zamykają Panu połączeń do bazy powodując takie użycie, sam apache dozwala 1seseje z danego adresu ip czyli nie pozwoli jednemu aresowi wykonać 10razy otwarcia tej samej strony, będzie to realizował zapytanie po zapytaniu, ładując kolejno wykonywane zdania dla danego użytkownika dopiero wówczas przechodząc do załadowania kolejnej "

 

Nie wiem, czy to żart ze strony supportu, czy chodzi o nieznane mi nazewnictwo, ponieważ jeżeli jakaś grupa osób specjalnie generuje dużą liczbę połączeń jest to jednak chyba pewien atak.

 

Cóż, odnośnie xmlrpc.php, mój webdeveloper odpisał mi, że ten skrypt był już od początku zablokowany. Zapytałem go, odnośnie tego, co spytał support, czyli owe skrypty, które mogą otwierać i zamykać połączenia.

 

 

XMLRPC może być "blokowane" z poziomu wykonywalnego skryptu, może być "załatane" ale i tak najlepiej to zrobić za pomocą rewrite'a aby przed wykonaniem skryptu.

 

Dodatkowo możesz zacache'ować sobie - czy to wtyczką PHP czy modułem PHP cokolwiek aby było to lżejsze, ale i tak z logów które podesłałeś to widzę ruch UDP na wysokie porty - więc nic Ci to nie da ;)


  • 0





0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników