Изпечатай

[carbonated]

Здравейте! Някой прави нещо на apacheto ми и се появяват стотици процеси => CPU-то се натоварва на 100%. Защитил съм го от syn flood, но изглежда не е това тъй като не логва нищо. Освен това MySQL-а почва да дава too many connections и всичко се оплита.

[arda_kj]

Трябва да ни дадеш малко повече информация, за да разберем какво точно става. Имам няколко въпроса:

1) Какви са тези стотици процеси, които се появяват? Апачето стартира отделни нишки, за да приеме нови кънекции или стартира отделна програма стотици пъти.
2) Как си го защитили от syn flood? Как си сигурен, че не е syn flood? При syn flood по-принцип нищо не се логва, т.к. няма завършена TCP кънекция.
3) Това че MySQL ти дава too many connection може ли да значи, че някой се опитва да ти brute force разни акаунти.
4) Каква е Операционната система на сървъра? Какво точно хостваш и какви web услуги се достъпват, може ли потребители да се логват отдалечено на твоя сървър и да ползват ресурсите му?
5) Атаките от един и същ IP ли се извършват или от произволен IP? Атаките постоянни ли са или има прекъсване между отделните атаки?

За мониторинг какво става може да използваш tcpdump, който да ти извежда инфо за идващите пакети. Например за детектиране на syn flood може да ползваш следното изпълнено като root:

Код:

tcpdump -n -vv dst host IP_NA_TVOQ_SERVER and dst port 80 and 'tcp[tcpflags] & tcp-syn == tcp-syn'

IP_NA_TVOQ_SERVER - тука трябва да въведеш IP-то на твоя сървър. За повече инфо относно работата с tcpdump  http://danielmiessler.com/study/tcpdump/

Не е зле да видиш и по логовете какво пише, логовете на Апаечето, syslog, auth.log, логовете на другите услуги, които поддържаш. Също виж изхода на last, lastb, w или who за нещо съмнително.
Инсталирай си и htop, конзолен таск мениджър доста по-удобен от top, за да следиш какви процеси работят на системата.

[n00b]

slowloris е името на атаката.

Предпазва се като сложиш един ngnix като reverse proxy пред apache, и направиш самия apache невидим за външния свят.

[b2l]

slowloris е името на атаката.

Предпазва се като сложиш един ngnix като reverse proxy пред apache, и направиш самия apache невидим за външния свят.

Баси сложното...