Skocz do zawartości
Zaloguj się, aby obserwować  
Obserwujący 0
peres.pro

Diagnoza przy ataku

Przez peres.pro, w Administracja Serwerów

Polecane posty

peres.pro    9

peres.pro
Napisano (edytowany)

Na mój serwer ostatnimi czasy zdarzają się ataki, nie są to jakieś potężne ataki ale wystarczające aby usadzić na jakiś czas nie tyle co VPS'a a serwer gry i wszystkie inne usługi typu www, php itp. Po ataku nawet nie musze rebootować VPS'a i wszystko działa w porządku, ataki trwają od kilku do kilkunastu minut.

Atak maksymalnie osiągnął 16Mb wg. wykresów z panelu, ale lagi na serwerze są nawet gdy pójdzie atak z łączem 4Mb, chociaż mój serwer gry która jest hostowana na owym VPSie przy 160 graczach potrzebuję niecałe 350kbps. Zauważyłem też z wykresów, że w czasie ataku coś dziwnego dzieję się z ramem i prockiem.

 

O to screeny kolejno łącze, użycie procka oraz użycie ramu(świeżutkie ssy, zakres to ostatnia doba):

03631685175937859391.png

74613976717956626323.png

26489494439892567408.png

 

Chciałbym zdiagnozować owy atak bo jest on co najmniej dziwaczny dla mnie, co o tym sądzicie, jak się za to zabrać ?

Edytowano przez lanceq (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

peres.pro    9

peres.pro
Napisano (edytowany)

Przejrzałem syslog i messages i nic dziwnego nie zauważyłem, aktualnie jest ten atak 5Mb łącza wg wykresów strony się bardzo wolno wczytują a na serwerze gry lagi spore.

Edytowano przez lanceq (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

peres.pro    9

peres.pro
Napisano

Tylko że w bardzo krótkim czasie od ataku umiera ssh, potem oczywiście wstaje ale w tym najważniejszym momencie tracę połączenie.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

peres.pro    9

peres.pro
Napisano (edytowany)

Niestety nie mam. A może w iftopie, jest możliwość logowania do pliku IP z których był większy ruch, lub coś podobnego ? Może wyłapie ten początek ataku przed padem usług i się dowiemy na co to jest atak.

Edytowano przez lanceq (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość Kamikadze   

Gość Kamikadze
Napisano

To ustaw sobie skrypt w bashu działający na tej zasadzie:

 

 

sprawdzanie ruchu sieciowego

warunek(jezeli > od 5mbps)

to niech zapisuje do pliku informacje

 

;) + Cron i zobaczymy co się stanie ;)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

peres.pro    9

peres.pro
Napisano

Łatwo powiedzieć, trudniej zrobić :P

 

W Bashu jestem noga, czy ktoś z Was ma może taki skrypt do diagnozy lub gdzieś jest udostępniany ?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

tym    205

tym
Napisano (edytowany)

apt-get install munin + konfiguracja patchy i masz monitoring .... Ewentualnie ntop. Choć mi to wygląda na przekraczanie zasobów na openvz...

Edytowano przez tym (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Biszkopcik    37

Biszkopcik
Napisano

Zainstaluj ulogd + reguły do iptables, żeby ci było łatwiej, podam wszystko na tacy:

 

aptitude install ulogd

 

reguły iptables -->

 

# logowanie ruchu - ulog

iptables -I INPUT -p tcp -i eth0 -m state --state NEW -j ULOG --ulog-nlgroup 1

iptables -I INPUT -p udp -i eth0 -m state --state NEW -j ULOG --ulog-nlgroup 1

 

iptables -I FORWARD -p tcp -o eth0 -m state --state NEW -j ULOG --ulog-nlgroup 1

iptables -I FORWARD -p udp -o eth0 -m state --state NEW -j ULOG --ulog-nlgroup 1

 

iptables -I OUTPUT -p tcp -o eth0 -m state --state NEW -j ULOG --ulog-nlgroup 1

iptables -I OUTPUT -p udp -o eth0 -m state --state NEW -j ULOG --ulog-nlgroup 1

 

Po tym zabiegu będziesz miał logowanie każdego połączenia z serwerem w /var/log/ulog/syslogemu.log

 

Po ataku przejrzyj logi i będziesz wiedział z jakich adresów i na co idzie atak. Iftop jest dobrym narzędziem tylko wtedy gdy masz połączenie z konsolą serwera. Inaczej jest bezużyteczny tak jak w twoim przypadku.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

furek    37

furek
Napisano

Lub też zainstaluj sobie tsharka , który pokazuje informacje o pakietach.

Tylko wcześniej postaraj się o jakiś dostęp poprzez vnc.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

peres.pro    9

peres.pro
Napisano (edytowany)

Bardzo dziękuję za liczne podpowiedzi.

 

Niestety mam ISPconfig i jest mały problem bo iptables są jakoś inaczej ustawione w tym panelu. W panelu ispconfiga w dziale Monitor->Pliki Logów->iptables mam:

 

 

 

 

 

Reguły IPTables (Serwer : lanceq.pl)

 

 

 

Dane z: 2012-08-16 17:40

 

iptables -S (ipv4)

-P INPUT ACCEPT

-P FORWARD ACCEPT

-P OUTPUT ACCEPT

-N fail2ban-dovecot-pop3imap

-N fail2ban-pureftpd

-N fail2ban-ssh

-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh

-A INPUT -p tcp -m multiport --dports 21 -j fail2ban-pureftpd

-A INPUT -p tcp -m multiport --dports 110,995,143,993 -j fail2ban-dovecot-pop3imap

-A fail2ban-dovecot-pop3imap -j RETURN

-A fail2ban-pureftpd -j RETURN

-A fail2ban-ssh -j RETURN

 

 

ip6tables -S (ipv6)

-P INPUT ACCEPT

-P FORWARD ACCEPT

-P OUTPUT ACCEPT

 

Więc gdzieś one muszę się tworzyć, jeżeli ma/miał ktoś ispconfiga lub po prostu wie gdzie jest ten plik rozruchowy dodający te początkowe regułki abym mógł dopisać nowe to prosiłbym o odpowiedz

 

 

Edytowano przez lanceq (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0
Przejdź do listy tematów Administracja Serwerów
×