Ping Of Death?

[Kamil01 0]

Witam serdecznie, mam bardzo powazny problem z moim serwerem apache je 95% procka, serwer nie jedzie na swapie przypuszczam ze to może być jakis atak, oto co mi wypluła komenda "top" :

top - 12:41:56 up 1:00, 1 user, load average: 8.55, 7.00, 5.14

Tasks: 83 total, 6 running, 74 sleeping, 3 stopped, 0 zombie

Cpu(s): 85.7% us, 9.6% sy, 0.0% ni, 0.0% id, 0.0% wa, 3.3% hi, 1.3% si

Mem: 516408k total, 506984k used, 9424k free, 21364k buffers

Swap: 2048276k total, 16k used, 2048260k free, 308532k cached

 

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

6091 www-data 16 0 53564 24m 46m S 16.9 4.8 0:19.64 apache2

6359 www-data 19 0 53512 19m 46m R 16.3 4.0 0:15.54 apache2

6514 www-data 19 0 52860 13m 46m R 13.3 2.7 1:32.24 apache2

6824 www-data 15 0 52260 14m 46m S 10.3 2.8 0:03.61 apache2

6775 www-data 25 0 52736 12m 46m R 7.0 2.5 0:02.65 apache2

6926 www-data 25 0 52580 9.9m 46m R 6.6 2.0 0:01.01 apache2

6777 www-data 16 0 52740 17m 46m S 4.3 3.4 0:04.72 apache2

6778 www-data 15 0 52728 14m 46m S 3.7 2.9 0:03.06 apache2

6825 www-data 15 0 52852 15m 46m S 1.0 3.1 0:03.88 apache2

6970 www-data 16 0 51840 10m 46m S 1.0 2.1 0:00.42 apache2

5937 www-data 15 0 54028 21m 46m S 0.7 4.3 0:22.88 apache2

6369 www-data 15 0 52908 21m 46m S 0.7 4.4 0:08.25 apache2

276 root 15 0 0 0 0 S 0.3 0.0 0:01.13 kjournald

6084 www-data 15 0 53676 22m 46m S 0.3 4.5 0:20.88 apache2

6085 www-data 15 0 52908 21m 46m S 0.3 4.3 0:13.05 apache2

6089 www-data 16 0 53112 22m 46m S 0.3 4.4 0:17.38 apache2

6346 www-data 16 0 52872 19m 46m S 0.3 3.9 0:07.74 apache2

A po wpisaniu netstat pokazuje mi się bardzo dużo adresów ip pukających do serwera Kawałek tego co wypluło mi netstat:

tcp6 0 0 pro.hack.gs:www ip:1326 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1914 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1691 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip3527 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1690 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1320 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1693 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1321 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1692 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ipl:1521 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1322 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1695 TIME_WAIT

tcp6 0 0 pro.hack.gs:www iip:3523 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip.:1695 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1323 TIME_WAIT

tcp6 0 0 pro.hack.gs:www ip:1694 TIME_WAIT

 

tego jest mnóstwo, bardzo proszę o pomoc, nie wiem co się dzieje ;/

 

 

Pozdrawim i czekam na porady

[patryk 451]

http://www.eth0.us/mod_evasive

[Gość patrick]

zainstaluj ten moduł do apache i wywal te ip bądź klase bezposrenio na iptables/firewallu.

[irvinek 4]

iptables -I FORWARD -p all -s pro.hack.gs -o eth1 -j DROP

[hyhyhy 0]

Server ma 512 ramu... i strony takie jak f0ra.info, forka.info etc... więc nikt z tego nic nie wyciągnie... Po prostu jest duża ilość połączeń z różnych źródeł, nie jest to atak ddos... Pozdr.

[Kamil01 0]

forka.info nie działa jeszcze więc to nie ma nic do rzeczy