php-cgi. Высокий исходящий трафик. Возможно DDOS.

0

1

Загрузка CPU - постоянно под 100%.

Куча процессов параллельно - /usr/bin/php-cgi

iftop показывает трафик около 100 кб исходящий на несколько хостов.

Как определить, что за дрянь шлет делает это?

Ссылка

←	А как добились устойчивого радиоканала в московском метро?

Работа с памятью в kvm

→

Начать с понимания того, кто именно что-то запустил. Сайт на сервере один, или несколько ? Если несколько, под разными пользователями, или под одним ? Посмотреть подозрительное в логах. Проверить версии CMS, если таковые используются, посмотреть выпущенные обновления и списки изменений.

AS ★★★★★
(04.12.16 23:03:54 MSK)

access лог глянь.

snaf ★★★★★
(04.12.16 23:25:56 MSK)

Ответ на: комментарий от snaf 04.12.16 23:25:56 MSK

В логах происходит это:


91.96.249.80 - - [04/Dec/2016:03:14:36 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [04/Dec/2016:03:14:36 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [04/Dec/2016:03:14:36 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [04/Dec/2016:03:14:38 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [04/Dec/2016:03:14:37 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [04/Dec/2016:03:14:37 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

Добавил его в Drop через webmin.

-bash-4.1# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ftp-data
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ftp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:dnp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:emcrmird
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:emcrmirccd
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:documentum_s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:documentum
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:scp-config
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ndmp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:EtherNet/IP-1
DROP       all  --  196-178-172-163.rev.cloud.scaleway.com  anywhere
DROP       all  --  191.96.249.80        anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data

Но чета в access логах вебсервера вижу всеравно обращения хоста 191.96.249.80.

dopedopedope ★
(05.12.16 00:38:18 MSK) автор топика

Ответ на: комментарий от AS 04.12.16 23:03:54 MSK

Больной виртуалхост выявлен, логи запостил.

dopedopedope ★
(05.12.16 00:39:54 MSK) автор топика

Ссылка

Ответ на: комментарий от dopedopedope 05.12.16 00:38:18 MSK

а нет вроде остановилось.

dopedopedope ★
(05.12.16 00:40:47 MSK) автор топика

Ссылка

Ответ на: комментарий от dopedopedope 05.12.16 00:38:18 MSK

POST /xmlrpc.php

Ну и гугли теперь. WordPress ? Про него гуглится на эту тему.

Вообще RPC - Remote Procedure Call. Правда не в курсе, это ли имели ввиду разработчики WordPress.

AS ★★★★★
(05.12.16 00:52:39 MSK)
Последнее исправление: AS 05.12.16 00:54:40 MSK (всего исправлений: 1)

Ответ на: комментарий от AS 05.12.16 00:52:39 MSK

Спасибо за ответы. Вопрос решен блокировкой хостов, генерирующих эти запросы.

dopedopedope ★
(05.12.16 10:09:54 MSK) автор топика
Последнее исправление: dopedopedope 05.12.16 10:11:36 MSK (всего исправлений: 1)

Ответ на: комментарий от dopedopedope 05.12.16 10:09:54 MSK

Вопрос решен блокировкой хостов

Я бы ещё доступ к этому xmlrpc.php закрыл, наверное. Он там только локалхосту нужен обычно, судя по всему.

AS ★★★★★
(05.12.16 10:17:01 MSK)

Ссылка

Ответ на: комментарий от dopedopedope 05.12.16 00:38:18 MSK

выдавай 403 вместо xmlrpc.php

snaf ★★★★★
(05.12.16 20:16:19 MSK)

Ответ на: комментарий от snaf 05.12.16 20:16:19 MSK

Сделал 403, т.к. опять начались запросы с других хостов. Еще csf включил.

dopedopedope ★
(05.12.16 21:20:21 MSK) автор топика

Ответ на: комментарий от dopedopedope 05.12.16 21:20:21 MSK

случайно не apache?

snaf ★★★★★
(06.12.16 00:41:30 MSK)

Ответ на: комментарий от snaf 06.12.16 00:41:30 MSK

Apache, да. Добавил это в .htaccess:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

В логах вижу запросы продолжают молотить на этот адрес, зато нагрузка на сервер упала.

dopedopedope ★
(06.12.16 10:39:11 MSK) автор топика

Ответ на: комментарий от dopedopedope 06.12.16 10:39:11 MSK

какая версия WP?

snaf ★★★★★
(06.12.16 11:38:21 MSK)

cgi рискованно использовать вообще-то

anonymous
(06.12.16 13:05:27 MSK)

Ссылка

Ответ на: комментарий от snaf 06.12.16 11:38:21 MSK

Не скажу, доступа в админку нет. А сайт выпилен из wp, все про вордпресс убрали или запрятали.

dopedopedope ★
(06.12.16 13:55:37 MSK) автор топика
Последнее исправление: dopedopedope 06.12.16 14:00:21 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	А как добились устойчивого радиоканала в московском метро?

Admin

Работа с памятью в kvm

→

Похожие темы