Forum
Bildirimler
Hepsini Temizle
Hosting ve Veri Merkezi
7
Yazılar
4
Üyeler
0
Reactions
709
Görüntüleme
Konu başlatıcı
Merhabalar. Türkiye Lokasyon bir VPS'e sahibim. Söz konusu VPS'im içerisinde yaklaşık 15 adet web sitesi barınmakta ve neredeyse hiçbiri öyle çok yoğun trafik alan siteler değil. Yalnızca ikitane yurtdışı eğitim firması müşterim çokta sık olmamakla birlikte yurtdışı ile mail alışverişi yapıyorlar. Sorunum şuki, geçen günlerde gece sitelerimin açılmadığını farkettim. 3 GB olan VPS'min ram'ini %80-90 oranında bişeyler kullanıyordu ve trafik biranda 300 gb birden artmıştı. Buda imkansızdı. Çünkü 500GB kadar trafiğim var ve bugüne kadar kullanılan 80 GB'ı geçmiyordu. Anladığım kadarıyla bir saldırı gibi bişey alıyorum... ve bu gün içerisinde sık sık tekrarlanıyor. Ram kullanımı çoğaldığı için sitelerime erişemiyorum... HyperVM panel'imden aldığım caps altta. Ayrıca sunucu'mda en güncel Plesk kullanmaktayım (sınırsız özellikte) ve yer sağlayıcım konuya tam hakim olmadığı için (plesk) ip banlamak dışında bir müdahalede bulunamıyor. Bu arada sitelerimin trafiklerini kontrol ettiğimde hiçbir anormallik gözükmüyor... Dolayısı ile sıkıntı olmaya başladım. Bana ne önerirsiniz? Neler yapmam gerekir? Yada ne oluyor? Açıkçası konuya bende tam hakim değilim. Ne gibi düzenlemeler yapmam gerektiğini inanın hiç bilmiyorum. Yardımlarınız için şimdiden teşekkürler...
Gönderildi : 25/02/2012 15:21
Saldırı olduğunu düşündüğünüz anda netstat komutu ile nerelerden hangi portlara istek geldiğine bakabilirsiniz. Bu şekilde bir yorum getirmek mümkün.
Gönderildi : 26/02/2012 12:28
Konu başlatıcı
Öncelikle ilginize teşekkürler. Şimdi Putty aracılığıyla sisteme ssh login oldum. top komutunu denedim çünkü hypervm single server'dan kontrol ettiğimde ram'in yine 1 gb üzerine çıktığını gördüm.. top komutundan aldığım değerler aşağıdaki gibi, CPU'yu zorlayan değerlerin tamamının karşısında PERL olduğunu görüyorum...
top - 00:00:14 up 1:07, 1 user, load average: 331.78, 330.34, 281.95
Tasks: 413 total, 334 running, 76 sleeping, 0 stopped, 3 zombie
Cpu(s): 63.9%us, 36.1%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 3145728k total, 1140968k used, 2004760k free, 0k buffers
Swap: 0k total, 0k used, 0k free, 0k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
5856 apache 25 0 6932 4048 668 R 3.6 0.1 0:29.00 perl
5884 apache 25 0 6932 4052 668 R 3.6 0.1 0:27.90 perl
5888 apache 25 0 6932 4048 668 R 3.6 0.1 0:27.71 perl
5924 apache 25 0 6932 4048 668 R 3.6 0.1 0:25.39 perl
5926 apache 25 0 6932 4052 668 R 3.6 0.1 0:25.39 perl
5943 apache 25 0 6932 4048 668 R 3.6 0.1 0:24.74 perl
5981 apache 25 0 6932 4052 668 R 3.6 0.1 0:24.39 perl
6026 apache 25 0 6932 4052 668 R 3.6 0.1 0:22.30 perl
7200 apache 25 0 6932 4052 668 R 3.6 0.1 0:21.69 perl
7611 apache 25 0 6932 4052 668 R 3.6 0.1 0:18.92 perl
5854 apache 25 0 6932 4052 668 R 3.3 0.1 0:26.89 perl
5858 apache 25 0 6932 4052 668 R 3.3 0.1 0:26.89 perl
5878 apache 25 0 6932 4052 668 R 3.3 0.1 0:28.30 perl
5886 apache 25 0 6932 4052 668 R 3.3 0.1 0:27.90 perl
5890 apache 25 0 6932 4052 668 R 3.3 0.1 0:27.79 perl
5892 apache 25 0 6932 4052 668 R 3.3 0.1 0:27.79 perl
5894 apache 25 0 6932 4048 668 R 3.3 0.1 0:27.70 perl
Gönderildi : 01/03/2012 01:02
Siteniz perl script kullanıyor musunuz. Eğer size ait değilse sunucuda bir şekilde script çalıştırılıyor.
Gönderildi : 05/03/2012 15:14
Yer sağlayıcınız yardımcı olamıyorsa bir an önce değiştirmenizde fayda var. Daha kritik bir durumda neler olur düşünmesi bile kötü.
Gönderildi : 07/03/2012 12:34
Yer sağlayıcınız yardımcı olamıyorsa bir an önce değiştirmenizde fayda var. Daha kritik bir durumda neler olur düşünmesi bile kötü.
Bu firmanın çözmesi gereken bir durum gibi görünmüyor. Siz VPS alırsanız içinde olan açıklar sizi ilgilendirir.
Gönderildi : 07/03/2012 14:54
Hafta başında bende bu şekilde bir sorunla karşılaştım. ana çıkış IP adresim datacenter tarafından engellendi. Ve bu perl scripti eğer aynıysa worm gibi birşey sildikçe başka yerde açılıyordu.
En son sunucuyu yedekleyip format attık ve açıldığı domaini deaktif ederek restore ettik. Ayrıca tahminen sunucu IP adresin spam listesinede girmiştir. Bende son 2 günümü spam listesinden çıkarmakla geçirdim. Pazartesiden bugüne mesai yedim. işler birikti.
Ayrıca sunucumda çalışan perl scripti buydu; http://pastebin.com/kye3VSf9
Gönderildi : 08/03/2012 21:30
