https://www.opennet.ru/openforum/vsluhforumID10/4459.html Друзья! Всем привет!<br><br>Имеем CentOS 5.2 на нём поднят биллинг и хостинг.<br><br>Вопрос в следующем.<br>Есть сервер, на нём хостится 8 сайтов, 3 домена 2-го уровня, а остальные субдомены каждого из верхнего уровня.<br>Есть подозрение, что мой сервак атакуют, а именно DDoS. <br>У меня сначала возрастают пинги с 50мс до 400-600мс и даже до 2000 мс. Так он держится минут 10-15 и потом не отвечает. У меня написан скрипт, если не пингуется IP-адрес в сети интернет, то сервак сам идёт в перезагрузку. <br>Спустя время, от 5 минут до нескольких часов сервер наконец-то начинает отвечать, и с нормальными пингами от 30 до 60 мс.<br><br>Вопрос в следующем, как определить что именно произошло с сервером, почему он перестал отвечать, и если подтвердится что это DDoS, то как определить какой именно домен атакуют...<br><br>Заранее благодарен.<br> https://www.opennet.ru/openforum/vsluhforumID10/4459.html#13 Tue, 05 Jan 2010 01:20:45 GMT а человек в здравом уме будет все ставить на одну машину?? не кажется ли вам, что это уже слишком? vmware esxi и каждую машину на отдельный хост. снорт+ эйсид тоже запретила церковь??? поюзайте снорта, он прояснит ситуацию во многом, даже картинку покажет. и графики построит.<br> https://www.opennet.ru/openforum/vsluhforumID10/4459.html#12 Thu, 24 Dec 2009 12:35:11 GMT &gt;&gt;Там один из подозрительных адресов 77.88.25.28 <br>&gt;Этот адрес принадлежит поисковому боту Яндекса spider33.yandex.ru вот кто это. <br><br>Гхм... поисковый паук ложит сервак? Что-то не так с сайтом (слишком тяжеловесный?).<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4459.html#11 Thu, 24 Dec 2009 10:48:58 GMT <br>&gt;Там один из подозрительных адресов 77.88.25.28 <br><br>Этот адрес принадлежит поисковому боту Яндекса spider33.yandex.ru вот кто это.<br> https://www.opennet.ru/openforum/vsluhforumID10/4459.html#10 Thu, 24 Dec 2009 10:47:00 GMT <br>&gt;А вообще можешь закрыть порт 65535, если есть права на такое... <br><br>Если честно, то я в фаерволе закрыл этот порт, но на него всё равно сыпется трафик.............<br> https://www.opennet.ru/openforum/vsluhforumID10/4459.html#9 Thu, 24 Dec 2009 09:00:56 GMT &gt;Друзья! У меня сейчас вообще вызывает подозрение что это DDoS. <br>&gt;Машинка, на которой всё это крутиться, она и шлюз и хостинг. <br>&gt;Смотрю по биллинговой системе, запросов и пакетов, перед падением, не много. <br>&gt;вот скрин: http://www.novour.com/3.jpg <br>&gt;Почему тогда сер уходит в даун, умане приложу. <br>&gt;<br>&gt;Помогите плиззззз разобраться. <br><br>Там один из подозрительных адресов 77.88.25.28<br>набираешь в комстроке <br><br>whois 77.88.25.28<br><br>Ищешь "Network security issues:". После двоеточия будет емайл.<br><br>Пишешь жалобу на указанный емайл с доказательствами своей правоты. Всё. Процентов 99, что это участник ботнета :)<br><br>А вообще можешь закрыть порт 65535, если есть права на такое...<br> https://www.opennet.ru/openforum/vsluhforumID10/4459.html#8 Thu, 24 Dec 2009 02:56:01 GMT Друзья! У меня сейчас вообще вызывает подозрение что это DDoS.<br>Машинка, на которой всё это крутиться, она и шлюз и хостинг.<br>Смотрю по биллинговой системе, запросов и пакетов, перед падением, не много. <br>вот скрин: http://www.novour.com/3.jpg<br>Почему тогда сер уходит в даун, умане приложу.<br> <br>Помогите плиззззз разобраться.<br> https://www.opennet.ru/openforum/vsluhforumID10/4459.html#7 Fri, 18 Dec 2009 04:35:50 GMT &gt;по личному опыту скажу - да, это ДДоС. <br>&gt;Я сам не знаю как бороться с ддос атаками, потому я нанимал <br>&gt;человека для борьбы с этой проблемой... <br><br>А не подскажешь что он сделал? помет поглядишь, что поменял, что добавил.....<br> https://www.opennet.ru/openforum/vsluhforumID10/4459.html#6 Thu, 17 Dec 2009 10:34:23 GMT по личному опыту скажу - да, это ДДоС.<br>Я сам не знаю как бороться с ддос атаками, потому я нанимал человека для борьбы с этой проблемой...<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4459.html#5 Wed, 16 Dec 2009 09:17:57 GMT &gt;продолжатель дела петросяна? )) <br>&gt;man tcpdump <br><br>Нет, просто я ещё очень слаб в Linux.<br>Поэтому и спрашиваю.....<br>