oliver84 3 Zgłoś post Napisano Marzec 15, 2015 (edytowany) Witam! od okolo 3 tyg mam problem z jakims natrętem, który prawdopodobnie atakuje przez apache z mojego dedyka. W czasie ataku wysyca max łącza i procesy związane z apache wykorzystują w 100% rdzeń. Może ktoś ma pomysł jak ukrócić ten proceder? Zablokowałem UDP 80 przez iptables, ale nie mogę ograniczyć ruchu na innych portach gdyż trzymam tez kilka serwerów gier. System ubuntu 14.04 SE Edytowano Marzec 15, 2015 przez oliver84 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Marzec 15, 2015 Duży jest ten atak ? Jeżeli nie to może i iptables poradzi sobie z limitowaniem udp per ip, jeżeli nie to zewnętrzny firewall. Udostępnij ten post Link to postu Udostępnij na innych stronach
oliver84 3 Zgłoś post Napisano Marzec 15, 2015 (edytowany) od paru dni troche osłabły ataki. Początkowo były kilkanaście razy w ciągu godziny całym portem 100mbit. Wysyła pakiety po 1500 bajtow. Przez moj sprzęt zauwazyłem, że atakuje strony UA i DE. Chyba Putin mnie zaatakowal Edytowano Marzec 15, 2015 przez oliver84 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Miłosz 2311 Zgłoś post Napisano Marzec 15, 2015 A popatrz w procesy na serwerze. Może ktoś wrzucił Ci syfiasty skrytp perla i go zdalnie uruchamia. Udostępnij ten post Link to postu Udostępnij na innych stronach
tgx 575 Zgłoś post Napisano Marzec 15, 2015 zobacz na jaki IP leci atak i grepnij logi tym IP. Z reguły syf wywołuje się po GET więc łatwo namierzyć z jakiego pliku leci. Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Marzec 18, 2015 Polecam przed tym Apache postawić nginx'a Tak po prostu. Wtedy masz szansę mu odpowiedzieć na wszystko. Udostępnij ten post Link to postu Udostępnij na innych stronach
oliver84 3 Zgłoś post Napisano Marzec 19, 2015 (edytowany) Parę dni temu zainstalowałem lighttpd gdyż myślałem, że może to jakiś exploit w apache. Ale ataki nadal idą z tym, że wychwyciłem jedno z ip które atakuje :/ Ok przypilnowalem teraz gagadka i po ip w logach znalazłem..... tak jak @tgx pisał wywołania leciały po GET i syf był w.....echelonie. A to ip natręta 95.91.227.234 - Geo InformationIP Address | 95.91.227.234Host | ip5f5be3ea.dynamic.kabel-deutschland.deLocation | DE DE, GermanyCity | Hamburg, 04 -Organization | Kabel DeutschlandISP | Kabel DeutschlandAS Number | AS31334 Kabel Deutschland Vertrieb und Service GmbHLatitude | 53°55'00" NorthLongitude | 10°00'00" EastDistance | 1555.88 km (966.78 miles) Edytowano Marzec 19, 2015 przez oliver84 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
