Server em từ tối qua đến giờ cứ như thế này. Có phải là đang bị ddos không ạ?

vipkute2703

W-------
30/10/2013
0
7 bài viết
Server em từ tối qua đến giờ cứ như thế này. Có phải là đang bị ddos không ạ?
Server e chạy Ubuntu 14.04 hôm qua vẫn xài bình thường. Đến khoảng hơn 20h là bắt đầu chậm và em vào kiểm tra thì thấy như thế này. Vẫn chưa biết cách khắc phục làm sao. Mong các bác giúp e với ạ. Em xin cảm ơn

2017-03-29_193522.png
2017-03-29_193549.png
2017-03-29_193728.png
2017-03-29_193748.png
2017-03-29_193816.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Hồi mới làm Linux mình cũng seach và check server bằng mấy dòng lệnh bạn show, những thông số này thực ra không cho kết quả đúng về tình trạng server có bị ddos hay không.
Để chắc chắn xem server bạn có bị ddos không bạn có thể lấy log web thời điểm server chậm để phân tích nhé, bạn có thể up lên topic này.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Comment
Không chắc đâu .
Có thể do từ máy chủ ( Tức máy bạn đó )
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
như này có phải là đang bị ddos không các bác? Và các user-agent có phải là: like Gecko không ạ

sNsNjp0.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
như này có phải là đang bị ddos không các bác? Và các user-agent có phải là: like Gecko không ạ

sNsNjp0.png
Đoạn log bạn cung cấp thì đúng là server bạn đang bị ddos nhé. Chúng ta nên quan tâm đến request đến server là "get/http/1.1" còn user agent là thuộc tính theo từng tool ddos tạo ra. Bạn nên dùng iptable chặn các ip có nhiều request "get/http/1.1" trong 1 khoảng thời gian ngắn 1-2 phút. Nếu không đủ kinh tế trang bị firewall cho server thì đây là biện pháp tạm thời cho máy chủ web của bạn.
 
Comment
Bên trên