FAQ |
Kalender |
2006-12-18, 12:43 | #1 | ||
|
|||
Mycket flitig postare
|
Har en "managed dedi" som varit lite problem med sista tiden. I samband med en uppgradering av Apache som inte blev riktigt lyckad råkade jag även ut för en DOS-attack enligt de som sköter servern. Jag å min sida tror att de helt enkelt försöker skyla över att de inte kan få igång servern, utan helt enklet skyller på något som de "vet" att jag inte kan kontrollera.
Undrar därför hur jag vet om min server utsätts för DOS-attack och hur jag kan kontrollera detta i efterhand. Loggar eller vad som helst där man kan utläsa vad som hänt. |
||
Svara med citat |
2006-12-18, 12:45 | #2 | |||
|
||||
Har WN som tidsfördriv
|
Du kan läsa en vanlig accesslog, om dom nyttjar http när dom kör sin ddos. Annars har jag råkat ut för flertalet ddos där dom kör mot smtp, bara skickar massa gurgel, syns också i lämplig logg.
|
|||
Svara med citat |
2006-12-18, 12:51 | #3 | ||
|
|||
Mycket flitig postare
|
Tack! Ska genast kolla loggar och se vad jag får ut
|
||
Svara med citat |
2006-12-18, 13:53 | #4 | ||
|
|||
Mycket flitig postare
|
Två alternativ:
- Jag fattar inte vad jag letar efter eller var - De ljuger angående attacken Kikar i accesslog och errorlog för apache utan att se något som jag tycker tyder på en DoS-attack. Det error_log samma rad ett antal gånger före... [Mon Dec 18 06:10:35 2006] [warn] pid file /var/run/httpd.pid overwritten -- Unclean shutdown of previous Apache run? [Mon Dec 18 06:10:35 2006] [notice] Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7d FrontPage/5.0.2.2510 configured -- resuming normal operations [Mon Dec 18 06:10:35 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Mon Dec 18 06:10:35 2006] [notice] Accept mutex: flock (Default: flock) [Mon Dec 18 06:14:59 2006] [crit] (48)Address already in use: make_sock: could not bind to port 443 [Mon Dec 18 06:15:48 2006] [crit] (48)Address already in use: make_sock: could not bind to port 443 [Mon Dec 18 06:17:50 2006] [notice] caught SIGTERM, shutting down [Mon Dec 18 06:18:01 2006] [warn] pid file /var/run/httpd.pid overwritten -- Unclean shutdown of previous Apache run? Samma rad ett antal gånger efter... access_log Dec 18 00:00:00 server newsyslog[85563]: logfile turned over Tar tacksamt emot fler tips! |
||
Svara med citat |
2006-12-18, 14:21 | #5 | |||
|
||||
Flitig postare
|
Det finns flera typer av dos attacker, vanligast mot webservrar är överbelastningsattacker där man laddar om något på sidan väldigt snabbt väldigt ofta. vanligtvis så ökar trafiken till servern när detta händer så lättast att hitta dos attacker tycker jag är att installera mrtg eller någon annan typ av graf över serverns trafik, du får kanske ta trafiken i dessa grafer med en nypa salt beroende på hur bra filtrering din leverantör har.
Jag driver tex en IRC server på ett av de större IRC chat nätverken och jag vet att när min graf visar 100Mbps attacker så är de vanligtvis på 1-2Gbps pga att det mesta filtreras ut innan det når servern och att servern beräknar medeltal, att den ena sekunden träffas av 2Gbps så räknas detta värde över en period av kanske 5 minuter och visas då i din graf som betydligt mindre än vad den verkligen var pga att leverantören filtrerade bort trafiken snabbt. anyways.. när du i grafen ser tidpunkten för attacken så är det lättare att hitta källan till attacken i dina webloggar. exempel på mrtg graph: Attackerna förra veckan Måndags natt och under Onsdagen översteg 1Gbps (enligt företaget som sponsrar servern) Jag tycker iallafall att mrtg är mycket bra att installera, du kan ju där bekräfta när en attack sker och när din leverantör ljuger. Lycka till! |
|||
Svara med citat |
2006-12-18, 14:40 | #6 | ||
|
|||
Klarade millennium-buggen
|
Kolla om apache inte körs fortfarande och ta bort pid filen och starta apache så bör den starta igen.
Kör netstat -epl | grep http för se om vad som binder porten fortfarande om apache inte vill gå igång. Sedan kan du köra netstat -n | grep SYN_RECV | wc -l för se om det kommer massa syn paket. Om du vill övervaka trafiken så är det bättre att du installerar snmp på servern samt kör något som kollar trafiken i realtid. |
||
Svara med citat |
2006-12-18, 14:49 | #7 | ||
|
|||
Mycket flitig postare
|
Tack, men du talar med en som kör win
De har lyckats skrämma igång Apache nu och jag ska se över skyddet framöver. Dock är jag fortfarande fundersam över om det var DoS eller SbT (skit bakom tgb). Är det alt 2 så är det troligtvis dags att se sig om efter ett alternativ som kan ta hand om saker o ting. Har bett om mer information om attacken. De borde ju kunna visa på något eftersom de kunde se att servern var attackerad. Tror och hoppas jag i alla fall... |
||
Svara med citat |
2006-12-18, 15:00 | #8 | ||
|
|||
Mycket flitig postare
|
Tycker inte riktigt min bild matchar din...
Ingen extrem topp senaste 24h i alla fall och övriga bilder ser liknande ut... netstat -epl funkade inte som kommando. Kör FreeBSD |
||
Svara med citat |
2006-12-18, 15:00 | #9 | ||
|
|||
Klarade millennium-buggen
|
Om dom sa att det var en attack så måste dom självklart kunna visa upp det, men en syn attack behöver inte synas allt på trafiken dock.
|
||
Svara med citat |
2006-12-18, 15:04 | #10 | ||
|
|||
Klarade millennium-buggen
|
Trodde du körde linux, i FreeBSD kör sockstat | grep httpd
|
||
Svara med citat |
Svara |
|
|