WN
Sidan 1 av 3 1 23
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)
-   -   Hur vet jag om servern utsatts för DOS-attack? (https://www.wn.se/forum/showthread.php?t=18179)

N!cklas 2006-12-18 12:43
Har en "managed dedi" som varit lite problem med sista tiden. I samband med en uppgradering av Apache som inte blev riktigt lyckad råkade jag även ut för en DOS-attack enligt de som sköter servern. Jag å min sida tror att de helt enkelt försöker skyla över att de inte kan få igång servern, utan helt enklet skyller på något som de "vet" att jag inte kan kontrollera.

Undrar därför hur jag vet om min server utsätts för DOS-attack och hur jag kan kontrollera detta i efterhand. Loggar eller vad som helst där man kan utläsa vad som hänt.

najk 2006-12-18 12:45
Du kan läsa en vanlig accesslog, om dom nyttjar http när dom kör sin ddos. Annars har jag råkat ut för flertalet ddos där dom kör mot smtp, bara skickar massa gurgel, syns också i lämplig logg.

N!cklas 2006-12-18 12:51
Tack! Ska genast kolla loggar och se vad jag får ut

N!cklas 2006-12-18 13:53
Två alternativ:
- Jag fattar inte vad jag letar efter eller var
- De ljuger angående attacken

Kikar i accesslog och errorlog för apache utan att se något som jag tycker tyder på en DoS-attack. Det

error_log
samma rad ett antal gånger före...
[Mon Dec 18 06:10:35 2006] [warn] pid file /var/run/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
[Mon Dec 18 06:10:35 2006] [notice] Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7d FrontPage/5.0.2.2510 configured -- resuming normal operations
[Mon Dec 18 06:10:35 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Mon Dec 18 06:10:35 2006] [notice] Accept mutex: flock (Default: flock)
[Mon Dec 18 06:14:59 2006] [crit] (48)Address already in use: make_sock: could not bind to port 443
[Mon Dec 18 06:15:48 2006] [crit] (48)Address already in use: make_sock: could not bind to port 443
[Mon Dec 18 06:17:50 2006] [notice] caught SIGTERM, shutting down
[Mon Dec 18 06:18:01 2006] [warn] pid file /var/run/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
Samma rad ett antal gånger efter...

access_log
Dec 18 00:00:00 server newsyslog[85563]: logfile turned over


Tar tacksamt emot fler tips!

magic 2006-12-18 14:21
Det finns flera typer av dos attacker, vanligast mot webservrar är överbelastningsattacker där man laddar om något på sidan väldigt snabbt väldigt ofta. vanligtvis så ökar trafiken till servern när detta händer så lättast att hitta dos attacker tycker jag är att installera mrtg eller någon annan typ av graf över serverns trafik, du får kanske ta trafiken i dessa grafer med en nypa salt beroende på hur bra filtrering din leverantör har.

Jag driver tex en IRC server på ett av de större IRC chat nätverken och jag vet att när min graf visar 100Mbps attacker så är de vanligtvis på 1-2Gbps pga att det mesta filtreras ut innan det når servern och att servern beräknar medeltal, att den ena sekunden träffas av 2Gbps så räknas detta värde över en period av kanske 5 minuter och visas då i din graf som betydligt mindre än vad den verkligen var pga att leverantören filtrerade bort trafiken snabbt.

anyways.. när du i grafen ser tidpunkten för attacken så är det lättare att hitta källan till attacken i dina webloggar.

exempel på mrtg graph:

http://www.marcus.nu/junk/newyork.png

Attackerna förra veckan Måndags natt och under Onsdagen översteg 1Gbps (enligt företaget som sponsrar servern)

Jag tycker iallafall att mrtg är mycket bra att installera, du kan ju där bekräfta när en attack sker och när din leverantör ljuger.

Lycka till!

patrikweb 2006-12-18 14:40
Kolla om apache inte körs fortfarande och ta bort pid filen och starta apache så bör den starta igen.

Kör netstat -epl | grep http för se om vad som binder porten fortfarande om apache inte vill gå igång.

Sedan kan du köra netstat -n | grep SYN_RECV | wc -l för se om det kommer massa syn paket.

Om du vill övervaka trafiken så är det bättre att du installerar snmp på servern samt kör något som kollar trafiken i realtid.

N!cklas 2006-12-18 14:49
Tack, men du talar med en som kör win ;)

De har lyckats skrämma igång Apache nu och jag ska se över skyddet framöver. Dock är jag fortfarande fundersam över om det var DoS eller SbT (skit bakom tgb). Är det alt 2 så är det troligtvis dags att se sig om efter ett alternativ som kan ta hand om saker o ting. Har bett om mer information om attacken. De borde ju kunna visa på något eftersom de kunde se att servern var attackerad. Tror och hoppas jag i alla fall...

N!cklas 2006-12-18 15:00
Tycker inte riktigt min bild matchar din...
http://www.gratisforum.se/garbage/graf.png
Ingen extrem topp senaste 24h i alla fall och övriga bilder ser liknande ut...

netstat -epl funkade inte som kommando. Kör FreeBSD :)

patrikweb 2006-12-18 15:00
Om dom sa att det var en attack så måste dom självklart kunna visa upp det, men en syn attack behöver inte synas allt på trafiken dock.

patrikweb 2006-12-18 15:04
Trodde du körde linux, i FreeBSD kör sockstat | grep httpd


Alla tider är GMT +2. Klockan är nu 04:00.
Sidan 1 av 3 1 23
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson