LINUX.ORG.RU
ФорумSecurity

Много процессов /usr/sbin/apache2 -k start DDos

 ,


0

1

Здравствуйте.

Мой сайт ддосят. 25 тысяч запросов в час. Я ламер в linux, но по ssh зайти могу.

htop выдаёт примерно следующее:

root /usr/sbin/apache2 -k start
www-data /usr/sbin/apache2 -k start
www-data /usr/sbin/apache2 -k start
admin /usr/sbin/apache2 -k start
admin /usr/sbin/apache2 -k start
admin /usr/sbin/apache2 -k start
admin /usr/sbin/apache2 -k start
mysql /usr/sbin/mysqld

Где от admin’а запускается около 100 процессов. Поискал в инете, должен быть один процесс от root, потом несколько процессов от www-data и всё. От admin не должно быть Ну и столько же процессов от mysql (это я предполагаю так и должно быть).

Access log примерно такой:

1.1.1.1 - - [16/Mar/2021:01:42:56 +0300] "POST /security.php HTTP/1.0" 200 581 "https://site.ru/login.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
1.1.1.1 - - [16/Mar/2021:01:42:56 +0300] "POST /security.php HTTP/1.0" 200 581 "https://site.ru/login.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"

1.1.1.1 - это ip моего сервера. Только изредко проскакивают запросы от обычных пользователей с другими ip.

Ubuntu 16.04 VestaCP

Выложу любые логи. Только предложите. Я просто не знаю что делать.



Последнее исправление: Arbusx (всего исправлений: 5)

И?

Выложу любые логи. Только предложите. Я просто не знаю что делать.

Что делать от чего? От толпы ботнетов сервером не прикроешься.

kostyarin_ ★★
()
Последнее исправление: kostyarin_ (всего исправлений: 1)
Ответ на: комментарий от kostyarin_

10 часов назад такого не было. Как я понимаю, все процессы запускает мой же сервер. Как это исправить? Куда копать?

Arbusx
() автор топика
Ответ на: комментарий от Arbusx

DDoS – это атака нацеленная на отказ сервера под нагрузкой. Т.е. все процессы он и будет запускать сам. Единственный способ защиты – это ограничивать запросы к серверу. Как отличить ботнет от пользователя – тема отдельная.

kostyarin_ ★★
()
Ответ на: комментарий от kostyarin_

Меня уже несколько раз дудосили запросами с разных ip (в файле access_log была тьма китайцев), с ними прекрасно стравился file2ban и iptables.

А в этот раз все запросы с ip моего же сервера. Те я не могу забанить никакой ip.

Мой сервер отлично держит 80 тысяч активных пользователей ежедневно. Не хочется терять свой проект из-за завистников.

Помогите советом, пожалуйста!

Arbusx
() автор топика
Ответ на: комментарий от anonymous

Очень полезный коммент. Базу ip наверное я использую.

Но вот проблема как раз в том, что ip ни чей-то там, а мой собственный, моего же сервера.

Arbusx
() автор топика
Ответ на: комментарий от Arbusx

10 часов назад такого не было.

А что сделал с серваком?

Или плохой конфиг или вири. Забань пользователя admin, удали его каталог. Можешь проверить на вирусы с этими базами:

Вирус (kindex.php, bindex.php и т.д.) (комментарий)

https://urlhaus.abuse.ch/downloads/urlhaus.ndb

https://urlhaus.abuse.ch/downloads/urlhaus.ndb.sha256

и удалить только зараженные файлы.

anonymous
()
Ответ на: комментарий от anonymous

Вы не на тот комментарий ссылку оставили. Нужно было на этот:

Панель управления хостингом на серваках стоит? Я бы с этого начал, особенно, если там какая-нибудь VestaCP.

Полагаю и в той теме я угадал. VestaCP - это сплошная дыра в безопасности, где каждый месяц обнаруживаются новые уязвимости. В продакшене я бы рекомендовал панели управления хостингом вообще не использовать. Ни платные, ни бесплатные.

Stack77
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security