Skocz do zawartości
nurgiel

Ddos 100% obciążenie bazy - rada?

Polecane posty

Yo.

Posiadam VPSa z DA (to znaczy, że nie niezbyt ogarniam te sprawy, dlatego też pytam o radę).

Od paru dni mam problem z atakiem ddos, który obciąża mi bazę na 100%

Strona leży na wordpressie.Cloudflare w tej sytuacji nie pomaga.

W firewallu ustawiłem ct_limit = 100, jednak limit połączeń też nie pomógł.

 

log z system messages + złączam minitor z bazy danych.

Jakaś złota rada?

Jul 31 08:55:22 da5106 kernel: [5206095.919033] Out of memory in UB 19379: OOM killed process 10460 (php-fpm56) score 0 vm:699036kB, rss:462424kB, swap:0kB
Jul 31 08:55:25 da5106 kernel: [5206099.049137] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=177.159.152.251 DST=188.116.4.225 LEN=46 TOS=0x08 PREC=0x20 TTL=51 ID=0 DF PROTO=UDP SPT=56936 DPT=53413 LEN=26 
Jul 31 08:55:25 da5106 kernel: [5206099.049443] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=177.159.152.251 DST=188.116.4.225 LEN=151 TOS=0x08 PREC=0x20 TTL=51 ID=0 DF PROTO=UDP SPT=56936 DPT=53413 LEN=131 
Jul 31 08:56:33 da5106 kernel: [5206166.975669] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=200.30.223.94 DST=188.116.4.225 LEN=46 TOS=0x00 PREC=0x20 TTL=50 ID=0 DF PROTO=UDP SPT=41972 DPT=53413 LEN=26 
Jul 31 08:56:33 da5106 kernel: [5206166.975973] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=200.30.223.94 DST=188.116.4.225 LEN=151 TOS=0x00 PREC=0x20 TTL=50 ID=0 DF PROTO=UDP SPT=41972 DPT=53413 LEN=131 
Jul 31 08:58:23 da5106 kernel: [5206276.403232] Out of memory in UB 19379: OOM killed process 8175 (php-fpm56) score 0 vm:715432kB, rss:479208kB, swap:0kB
Jul 31 08:59:53 da5106 kernel: [5206367.125761] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=104.255.70.247 DST=188.116.4.225 LEN=37 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=UDP SPT=51462 DPT=123 LEN=17 
Jul 31 09:00:09 da5106 kernel: [5206383.011596] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=79.91.18.15 DST=188.116.4.225 LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=56147 DF PROTO=TCP SPT=4639 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 
Jul 31 09:00:12 da5106 kernel: [5206386.023533] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=79.91.18.15 DST=188.116.4.225 LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=56148 DF PROTO=TCP SPT=4639 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 
Jul 31 09:01:21 da5106 kernel: [5206454.457761] Out of memory in UB 19379: OOM killed process 8725 (php-fpm56) score 0 vm:725676kB, rss:490488kB, swap:0kB
Jul 31 09:02:35 da5106 kernel: [5206528.299527] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=116.98.87.4 DST=188.116.4.225 LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=48163 DF PROTO=TCP SPT=34338 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul 31 09:02:38 da5106 kernel: [5206531.307973] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=116.98.87.4 DST=188.116.4.225 LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=48164 DF PROTO=TCP SPT=34338 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul 31 09:02:44 da5106 kernel: [5206537.329021] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=116.98.87.4 DST=188.116.4.225 LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=48165 DF PROTO=TCP SPT=34338 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul 31 09:03:26 da5106 kernel: [5206579.328162] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=124.131.98.62 DST=188.116.4.225 LEN=46 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=58334 DPT=53413 LEN=26 
Jul 31 09:03:26 da5106 kernel: [5206579.328471] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=124.131.98.62 DST=188.116.4.225 LEN=151 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=58334 DPT=53413 LEN=131 
Jul 31 09:03:38 da5106 kernel: [5206591.758174] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=82.207.119.19 DST=188.116.4.225 LEN=46 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=53914 DPT=53413 LEN=26 
Jul 31 09:03:38 da5106 kernel: [5206591.759449] Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=82.207.119.19 DST=188.116.4.225 LEN=151 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=53914 DPT=53413 LEN=131 
Jul 31 09:03:57 da5106 kernel: [5206610.595776] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=37.203.214.106 DST=188.116.4.225 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=15037 PROTO=TCP SPT=48454 DPT=8888 WINDOW=1024 RES=0x00 SYN URGP=0 
Jul 31 09:04:26 da5106 kernel: [5206639.191922] Out of memory in UB 19379: OOM killed process 10004 (php-fpm56) score 0 vm:738216kB, rss:503152kB, swap:0kB

post-34367-0-36053000-1469949421_thumb.jpg

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

"Yo",

 

CSF + VPS z DA = good idea, ale samym iptables nic nie zrobisz - ważne jest gdzie leży ten VPS'ik.

 

1) Koniecznie odezwij się do swojego usługodawcy - jak nie pomoże, wtedy go zmień - powinien on zostawić tylko ten ruch UDP który jest niezbędny (np. 53 o ile trzymasz na tym DA swojego DNS'a), a całą resztę wypieprzyć

2) CloudFlare pewno broni Ciebie na 80 i 443 ale na całej reszcie widocznie jesteś otwarty - 188.116.4.225

3) Ustaw sobie my.cnf (percona wizard chociażby albo mysqltuner) jeżeli tak Ciebie baza obciąża, ale na Twoim miejscu zablokowałbym xmlrpc.php i zainteresował się lepszym ztweakowaniem php-fpm'a (timeout etc.)

 

Złota rada? Odezwij się do mnie, a zaoferuję Ci hosting na którym nie masz takich problemów ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

1) Wczoraj o 17 napisałem i do teraz bez odpowiedzi (jak widać w weekend, dużo ludzi nie siedzi w supportcie).

3) Nie będę udawał, że wiem o czym mówisz, ale na pewno poczytam sobie o tym i się doinformuję.

 

Jeżeli support nie pomoże, ja sam sobie z tym nie dam rady, to może rzeczywiście się odezwę.

Dzięki za odpowiedź.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

1) Wczoraj o 17 napisałem i do teraz bez odpowiedzi (jak widać w weekend, dużo ludzi nie siedzi w supportcie).

3) Nie będę udawał, że wiem o czym mówisz, ale na pewno poczytam sobie o tym i się doinformuję.

 

Jeżeli support nie pomoże, ja sam sobie z tym nie dam rady, to może rzeczywiście się odezwę.

Dzięki za odpowiedź.

 

1) Powodzenia!

3) https://tools. percona.com/wizard + np. http://linuxbsdos.com/2015/02/17/how-to-reduce-php-fpm-php5-fpm-ram-usage-by-about-50/

 

Oczywiście, jakbyś nie dał rady to serdecznie zapraszam ;)

Edytowano przez Spoofy (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Serwer z tego co widzę w hitme.pl spróbuj zadzwonić do nich na tel.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

"ataki ddos wycinane są już na naszych routerach brzegowych, czyli to co Pan posiada zapewne nie jest atakiem a bardziej zapewne liczbą połączeń do strony.

Tutaj należy zweryfikować skrypty czy to one nie otwierają lub nie zamykają Panu połączeń do bazy powodując takie użycie, sam apache dozwala 1seseje z danego adresu ip czyli nie pozwoli jednemu aresowi wykonać 10razy otwarcia tej samej strony, będzie to realizował zapytanie po zapytaniu, ładując kolejno wykonywane zdania dla danego użytkownika dopiero wówczas przechodząc do załadowania kolejnej "

 

Nie wiem, czy to żart ze strony supportu, czy chodzi o nieznane mi nazewnictwo, ponieważ jeżeli jakaś grupa osób specjalnie generuje dużą liczbę połączeń jest to jednak chyba pewien atak.

 

Cóż, odnośnie xmlrpc.php, mój webdeveloper odpisał mi, że ten skrypt był już od początku zablokowany. Zapytałem go, odnośnie tego, co spytał support, czyli owe skrypty, które mogą otwierać i zamykać połączenia.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A na co idą te ataki?

Jeśli wp-admin to może włącz na razie blokowanie wszystkich ip prócz Twojego.

 

Wysłane z mojego GT-S7710 przy użyciu Tapatalka

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie wiem, ponieważ jak pisałem w pierwszym poście, moja wiedza jest w zakresie innej dziedziny niż konfiguracja serwerów i ich bezpieczeństwo.

Cóż, zapewne nie jest to jednorazowy atak, tak więc pozostało mi wynająć speca, który upora się z tym, by nie było takich problemów w przyszłości.

Gdy się z tym uporam, napiszę cóż to był za atak i jak, co zostało zastosowane, by rozwiązać ten problem. Może to komuś pomoże.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sprawdz access logi. Jeśli to atak na xmlrpc to bedziesz mial spoooooro requestów na ten plik. Sprawdz także w jaki sposob ten xmlrpc jest blokowany. Jak po stronie php (jakies IFy etc) to nie wiem czy to pomoze duzo. Sprawdz czy masz to blokowane np na poziomie htaccess.

 

Sprawdz tez w netstacie czy jakis adres się nie "wybija" ponad inne w ilości połączeń do serwera:

netstat -plan|grep :80|awk '{print $5}'|cut -d: -f 1|sort|uniq -c|sort -n

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

"ataki ddos wycinane są już na naszych routerach brzegowych, czyli to co Pan posiada zapewne nie jest atakiem a bardziej zapewne liczbą połączeń do strony.

 

Tutaj należy zweryfikować skrypty czy to one nie otwierają lub nie zamykają Panu połączeń do bazy powodując takie użycie, sam apache dozwala 1seseje z danego adresu ip czyli nie pozwoli jednemu aresowi wykonać 10razy otwarcia tej samej strony, będzie to realizował zapytanie po zapytaniu, ładując kolejno wykonywane zdania dla danego użytkownika dopiero wówczas przechodząc do załadowania kolejnej "

 

Nie wiem, czy to żart ze strony supportu, czy chodzi o nieznane mi nazewnictwo, ponieważ jeżeli jakaś grupa osób specjalnie generuje dużą liczbę połączeń jest to jednak chyba pewien atak.

 

Cóż, odnośnie xmlrpc.php, mój webdeveloper odpisał mi, że ten skrypt był już od początku zablokowany. Zapytałem go, odnośnie tego, co spytał support, czyli owe skrypty, które mogą otwierać i zamykać połączenia.

 

 

XMLRPC może być "blokowane" z poziomu wykonywalnego skryptu, może być "załatane" ale i tak najlepiej to zrobić za pomocą rewrite'a aby przed wykonaniem skryptu.

 

Dodatkowo możesz zacache'ować sobie - czy to wtyczką PHP czy modułem PHP cokolwiek aby było to lżejsze, ale i tak z logów które podesłałeś to widzę ruch UDP na wysokie porty - więc nic Ci to nie da ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×