Skocz do zawartości
andromedos

Vps i logi serwera

Polecane posty

Witam mianowicie mam taki problem mam atak na serwer vps tworzy on ogromne logi az maksymalnie zapelni dysk.

 

Pytanie gdzie znajde kosz usuwam log ten trafia to /tmp kasuje z tego folderu i leci do kosza którego nie moge zlokalizowac.

 

Moj serwer to vps system debian

 

Prosze o pozytywne odpowiedzi jestem dość świeży.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale o co chodzi? Jak ty usuwasz logi, że trafiają do kosza ?biggrin.png Chodzi o /dev/null ? Jak usuwasz pliki to one znikają, a nie są przenoszone do kosza. No chyba, że masz iksy i sobie przenosisz. Tak czy siak nie rozumiem o czym mówisz. Z reguły jest tak, że jak usuwasz coś z koszta, to znika to z komputera.

Edytowano przez Kolopik (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

wifs.jpg

 

Tak wygląda dos i zapisywanie do log gdzie całośc waży 4.44 gb

 

po 2 min wygląda to tak

 

rdvu.jpg

 

Tak ale po przenoszeniu dalej nie zwalnia się miejsce

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Logiczne, bo przenosząc do kosza nie usuwasz plików. Rozumiesz różnicę? Większość ludzi myli te pojęcia, bo przenosi się do kosza a nie usuwa. Po przeniesieniu plików do kosza nadal są na dysku, rozumiesz ? Wciąż nie rozumiem do czego dążysz. Znasz komendę rm ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jesteś pewny że masz dosa? Sprawdź może logi, lub logi blędów może masz jakiś błąd który spamuje w logach. Sprawdz logi auth.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ccfi.jpg

 

Tak dos i znam komende rn jednak plik ktory sie utworzy ma na celu zapelnienie miejsca na full

 

z kad wiem ze to atak poniewaz jasno i wyraznie zostalem o tym poinformowany

 

dosowali slabym dosem serwer dawal sobie rade tylko zasoby wykorzystywał wiec zaczeli robić w ten sposób

 

wczoraj znalezlem plik log i go skasowalem poprzez rn ten polecial gdzies w kosz i nie moglem dojść jak go usunąć

 

Rozwiązaniem okazało sie wyłaczenie logów jednak nadal niewiem gdzie idą pliki skasowane to ani /tmp ani trash

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jesteś pewny że masz dosa? Sprawdź może logi, lub logi blędów może masz jakiś błąd który spamuje w logach. Sprawdz logi auth.

 

Pewnie cron, masa błędów w skryptach, błędy w bazie itp.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ccfi.jpg

 

Tak dos i znam komende rn jednak plik ktory sie utworzy ma na celu zapelnienie miejsca na full

 

z kad wiem ze to atak poniewaz jasno i wyraznie zostalem o tym poinformowany

 

dosowali slabym dosem serwer dawal sobie rade tylko zasoby wykorzystywał wiec zaczeli robić w ten sposób

 

wczoraj znalezlem plik log i go skasowalem poprzez rn ten polecial gdzies w kosz i nie moglem dojść jak go usunąć

 

Rozwiązaniem okazało sie wyłaczenie logów jednak nadal niewiem gdzie idą pliki skasowane to ani /tmp ani trash

Przeważnie logi znajdują się w /var/log. Komenda to RM, a nie RN, jak pisałeś.

 

Btw. nie lepiej jest się zabezpieczyć oraz wyciąć adresy "dosujące" serwer ?

Edytowano przez Kolopik (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jakiego serwera http używasz (bo to chyba w ten sposób tworzy się b. długi access log)?

 

Podaj na PW dane do VPSa to postaram sie sprawdzic ta sprawe, usunac logi (w linux'ie raczej sie kosza nie spotyka - jesli mowimy o terminalu i rm) i jesli to nginx to można wyłączyć dane żądania z access loga albo całkiem wyciąć na firewallu. Ewentualnie jeśli to Apache i nie chcesz zmieniać to może jakiś Varnish przed Apache, który zapewni szybsze odpowiedzi i brak logów (też dzięki regułom).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Za to komendę "rm" znamy świetnie. To nie logi tyle ważą, a pliki, które ktoś Ci może wysyłać na serwer. Nie wiem ile tygodni musiałbyś mnie ataków, żeby twoje logi zajmowały 120GB.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No szkoda ze musialem je wyłaczyć pokazał bym ze przy ataku moje miejsce na serwerze spadalo i to nie w kb ale w gb

 

Po godzinie mialem max wykozystania miejsca na serwerze po kasacji logów wracało do normy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wyszło na to, że z 2 adresów IP ktoś wrzucał duże pliki na serwer. dostał się przez dziurawy skrypt autora tematu :P Wszystko już działa :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeszcze raz dzieki Kolopik jednak blokada tych 2 ip nie dała za wiele następnego dnia o 14.15 kilka osób poleciało po vps wystarczyła jakieś 1 minuta aby mi całkowicie zablokowali cały vps za stałe równo mierne przeciążenie.

 

Sorki za taki ciemniak pisze na forum jednak wszystkiego nie można umieć niestety brak czasu na naukę takich rzeczy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pisz do dostawcy, że Cię ktoś atakuje. Podaj też dane na PW, bo może dalej coś w skrypcie siedzi, a nie systemowo.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×