Skocz do zawartości
kycu

Prawdopodobnie ataki na VPS

Polecane posty

Witam,

 

od 3-4 dni nie mogę sobie poradzić ze swoim VPS. Coś się dzieje takiego, że kilka minut jest dobrze wszystko śmiga a nagle duże spowolnienie VPSa, strony i poczta ładują się bardzo wolno a teamspeak jest praktycznie nie do użycia.

 

Sprawdziłem logi i w logu /var/log/auth.log znalazłem kilka IP z Chin które próbowały się zalogować na root, zablokowałem więc te ip za pomocą firewalla (tak mi się wydaje: link ). Niestety nadal to się powtarza. Restartowałem całego vps, wyłączałem aplikacje, apache, wszystko i to się powtarza...

 

Zainstalowałem także fail2ban http://vpsblog.pl/fail2ban-automatyczne-blokowanie-adresow-i

 

Dzwoniąc do pomocy (homecloud.pl) powiedziano mi, ze przekraczam zasoby, niestety tak nie jest bo sytuacja jest od kilku dni a wcześniej vps hulał aż miło, procesor był średnio w 15-20% wykorzystany a RAM w niecałych 30%...

 

zrzut obciążenia ssh http://s20.postimg.org/bt278bo71/Schowek05.jpg

 

system debian 6

 

Prosiłbym o pomoc, sugestie...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam,

 

od 3-4 dni nie mogę sobie poradzić ze swoim VPS. Coś się dzieje takiego, że kilka minut jest dobrze wszystko śmiga a nagle duże spowolnienie VPSa, strony i poczta ładują się bardzo wolno a teamspeak jest praktycznie nie do użycia.

 

Sprawdziłem logi i w logu /var/log/auth.log znalazłem kilka IP z Chin które próbowały się zalogować na root, zablokowałem więc te ip za pomocą firewalla (tak mi się wydaje: link ). Niestety nadal to się powtarza. Restartowałem całego vps, wyłączałem aplikacje, apache, wszystko i to się powtarza...

 

Zainstalowałem także fail2ban http://vpsblog.pl/fail2ban-automatyczne-blokowanie-adresow-i

 

Dzwoniąc do pomocy (homecloud.pl) powiedziano mi, ze przekraczam zasoby, niestety tak nie jest bo sytuacja jest od kilku dni a wcześniej vps hulał aż miło, procesor był średnio w 15-20% wykorzystany a RAM w niecałych 30%...

 

zrzut obciążenia ssh http://s20.postimg.org/bt278bo71/Schowek05.jpg

 

system debian 6

 

Prosiłbym o pomoc, sugestie...

 

w zasadzie to nie za wiele to mowi cokolwiek... ale idac twoim tropem

1. przede wszystkim zacznij logowac ruch, statystyki z obciazenia systemu.. cz aby napewno sa to ataki ? skad wiesz masz jakies wykresy lacz/obciazenia ? :)

2. jak masz stale ip i nikt inny nie musi miec dostepu odetnij port do paru ip (moze jakis vpn/tunel ?), mozesz tez zmienic port ssh (najlepiej odrazu stosujacl imity polaczen itp)

3. zablokuj przede wszystkim wiekszosc lacnic`u, tor, chiny/korea/, czesc afryki (szczegolnie nigeria itp)

tutaj pomocne moga byc ci serwisy typu okean, spamcop itp tamsa gotowe cidry ktore mozesz sobie np. raz na godzine aktualizowac w jakiejs tabeli abuse itp, oczywiscie zakladam ze to prywatny serwer i nie musisz miec polaczenia smtp z chinami itp :)

 

jesli chodzi o wszelki ochrony typu fail2ban/synproxy itp itd... to wszystko jest ok do momentu w ktorym ktos poprostu nie leci po spoofi`ie z randomami, wtedy pozostanie ci tylko dobrany recznie RAW itp...

 

ogolnie to wrozenie z fusow, na chwile obecna kilka ip w ssh to nic nowego, natomiast jesli musisz miec otwarty na swiat ssh to nie ulatwiaj zycia botom

 

podaj wiecej info a przede wszystkim zbierz jakiekolwiek info bo narazie nic nie wiadomo oproicz tego ze ci muli vps od czasu do czasu :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Moze dostales ataku po rource transfer ci wciagnelo i teraz masz te zwolnienie;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie jestem zaawansowanym użytkownikiem vps, uczę się można powiedzieć i całkiem dobrze mi to idzie ;). Czy mógłby mi ktoś podesłać w miarę ogarnięty, pisany przystępnym językiem poradnik który opisuje jak odciąć Chiny i inne kraje które zagrażają?

 

Chciałbym też mieć możliwość wygenerowania jakiegoś wykresu/logu odpowiadającego za ruch na vps. Jest takie coś pod debiana?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×