Forum

VPS'im Saldırımı Al...
 
Bildirimler
Hepsini Temizle

VPS'im Saldırımı Alıyor?

7 Yazılar
4 Üyeler
0 Reactions
731 Görüntüleme
(@quietman)
Gönderiler: 16
Eminent Member
Konu başlatıcı
 

Merhabalar. Türkiye Lokasyon bir VPS'e sahibim. Söz konusu VPS'im içerisinde yaklaşık 15 adet web sitesi barınmakta ve neredeyse hiçbiri öyle çok yoğun trafik alan siteler değil. Yalnızca ikitane yurtdışı eğitim firması müşterim çokta sık olmamakla birlikte yurtdışı ile mail alışverişi yapıyorlar. Sorunum şuki, geçen günlerde gece sitelerimin açılmadığını farkettim. 3 GB olan VPS'min ram'ini %80-90 oranında bişeyler kullanıyordu ve trafik biranda 300 gb birden artmıştı. Buda imkansızdı. Çünkü 500GB kadar trafiğim var ve bugüne kadar kullanılan 80 GB'ı geçmiyordu. Anladığım kadarıyla bir saldırı gibi bişey alıyorum... ve bu gün içerisinde sık sık tekrarlanıyor. Ram kullanımı çoğaldığı için sitelerime erişemiyorum... HyperVM panel'imden aldığım caps altta. Ayrıca sunucu'mda en güncel Plesk kullanmaktayım (sınırsız özellikte) ve yer sağlayıcım konuya tam hakim olmadığı için (plesk) ip banlamak dışında bir müdahalede bulunamıyor. Bu arada sitelerimin trafiklerini kontrol ettiğimde hiçbir anormallik gözükmüyor... Dolayısı ile sıkıntı olmaya başladım. Bana ne önerirsiniz? Neler yapmam gerekir? Yada ne oluyor? Açıkçası konuya bende tam hakim değilim. Ne gibi düzenlemeler yapmam gerektiğini inanın hiç bilmiyorum. Yardımlarınız için şimdiden teşekkürler...

 

 
Gönderildi : 25/02/2012 15:21

(@ozgurmazlum)
Gönderiler: 2208
Illustrious Member
 

Saldırı olduğunu düşündüğünüz anda netstat komutu ile nerelerden hangi portlara istek geldiğine bakabilirsiniz. Bu şekilde bir yorum getirmek mümkün.

 
Gönderildi : 26/02/2012 12:28

(@quietman)
Gönderiler: 16
Eminent Member
Konu başlatıcı
 

Öncelikle ilginize teşekkürler. Şimdi Putty aracılığıyla sisteme ssh login oldum. top komutunu denedim çünkü hypervm single server'dan kontrol ettiğimde ram'in yine 1 gb üzerine çıktığını gördüm.. top komutundan aldığım değerler aşağıdaki gibi, CPU'yu zorlayan değerlerin tamamının karşısında PERL olduğunu görüyorum...

top - 00:00:14 up  1:07,  1 user,  load average: 331.78, 330.34, 281.95
Tasks: 413 total, 334 running,  76 sleeping,   0 stopped,   3 zombie
Cpu(s): 63.9%us, 36.1%sy,  0.0%ni,  0.0%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   3145728k total,  1140968k used,  2004760k free,        0k buffers
Swap:        0k total,        0k used,        0k free,        0k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 5856 apache    25   0  6932 4048  668 R  3.6  0.1   0:29.00 perl
 5884 apache    25   0  6932 4052  668 R  3.6  0.1   0:27.90 perl
 5888 apache    25   0  6932 4048  668 R  3.6  0.1   0:27.71 perl
 5924 apache    25   0  6932 4048  668 R  3.6  0.1   0:25.39 perl
 5926 apache    25   0  6932 4052  668 R  3.6  0.1   0:25.39 perl
 5943 apache    25   0  6932 4048  668 R  3.6  0.1   0:24.74 perl
 5981 apache    25   0  6932 4052  668 R  3.6  0.1   0:24.39 perl
 6026 apache    25   0  6932 4052  668 R  3.6  0.1   0:22.30 perl
 7200 apache    25   0  6932 4052  668 R  3.6  0.1   0:21.69 perl
 7611 apache    25   0  6932 4052  668 R  3.6  0.1   0:18.92 perl
 5854 apache    25   0  6932 4052  668 R  3.3  0.1   0:26.89 perl
 5858 apache    25   0  6932 4052  668 R  3.3  0.1   0:26.89 perl
 5878 apache    25   0  6932 4052  668 R  3.3  0.1   0:28.30 perl
 5886 apache    25   0  6932 4052  668 R  3.3  0.1   0:27.90 perl
 5890 apache    25   0  6932 4052  668 R  3.3  0.1   0:27.79 perl
 5892 apache    25   0  6932 4052  668 R  3.3  0.1   0:27.79 perl
 5894 apache    25   0  6932 4048  668 R  3.3  0.1   0:27.70 perl

 
Gönderildi : 01/03/2012 01:02

(@ozgurmazlum)
Gönderiler: 2208
Illustrious Member
 

Siteniz perl script kullanıyor musunuz. Eğer size ait değilse sunucuda bir şekilde script çalıştırılıyor.

 
Gönderildi : 05/03/2012 15:14

(@tanbora)
Gönderiler: 357
Reputable Member
 

Yer sağlayıcınız yardımcı olamıyorsa bir an önce değiştirmenizde fayda var. Daha kritik bir durumda neler olur düşünmesi bile kötü.

 
Gönderildi : 07/03/2012 12:34

(@ozgurmazlum)
Gönderiler: 2208
Illustrious Member
 

Yer sağlayıcınız yardımcı olamıyorsa bir an önce değiştirmenizde fayda var. Daha kritik bir durumda neler olur düşünmesi bile kötü.

Bu firmanın çözmesi gereken bir durum gibi görünmüyor. Siz VPS alırsanız içinde olan açıklar sizi ilgilendirir.

 
Gönderildi : 07/03/2012 14:54

(@UgurGOK)
Gönderiler: 20
Eminent Member
 

Hafta başında bende bu şekilde bir sorunla karşılaştım. ana çıkış IP adresim datacenter tarafından engellendi. Ve bu perl scripti eğer aynıysa worm gibi birşey sildikçe başka yerde açılıyordu.

En son sunucuyu yedekleyip format attık ve açıldığı domaini deaktif ederek restore ettik. Ayrıca tahminen sunucu IP adresin spam listesinede girmiştir. Bende son 2 günümü spam listesinden çıkarmakla geçirdim. Pazartesiden bugüne mesai yedim. işler birikti.

 Ayrıca sunucumda çalışan perl scripti buydu;  http://pastebin.com/kye3VSf9  

 
Gönderildi : 08/03/2012 21:30

Paylaş: