SERVER bị tấn công DDOS

DiepNV88

Re: SERVER bị tấn công DDOS

Bạn thử các phương pháp scan virut online với cách sau:

Bạn tạo 1 file tùy ý:

#!/bin/bash
# Scan and delete PHP shell script
# Author: PETER
# Website: www.vncoder.org
find -name "*.php" -exec sed -i '/

ngocuytk7

Re: SERVER bị tấn công DDOS

Mình quét được toàn file .php rồi làm gì với chúng à bạn.
Xin cảm ơn.

DiepNV88 · 30/05/2014

Re: SERVER bị tấn công DDOS

ngocuytk7;13262 đã viết:
Mình quét được toàn file .php rồi làm gì với chúng à bạn.
Xin cảm ơn.

Liên hệ bên code xem mã nguồn các file để phân tích và loại bỏ các file độc hại khỏi server.

f_ancoong

Re: SERVER bị tấn công DDOS

Sau khi đọc câu hỏi và các câu trả lời của bạn "ngocuytk7", và trước khi có thể đưa ra lời khuyên chính xác cho chủ thớt trong trường hợp này thì mình có đôi chút thắc mắc như sau:
- Tại sao bạn biết hệ thống của mình bạn tấn công TCP SYN FLOOD ?
- Tại sao bạn lại nhận định các luồng dữ liệu là outbound, và nếu đã rõ điều này thì sao bạn lại không block được các IP như bạn đã liệt kê ra?

=> Mình cũng không có ý làm khó thớt đâu nhé, chỉ là để có được lời khuyên, hay góp ý thì mình cần có nhiều hơn thông tin từ bạn?

DiepNV88

Re: SERVER bị tấn công DDOS

f_ancoong;13273 đã viết:
Sau khi đọc câu hỏi và các câu trả lời của bạn "ngocuytk7", và trước khi có thể đưa ra lời khuyên chính xác cho chủ thớt trong trường hợp này thì mình có đôi chút thắc mắc như sau:
- Tại sao bạn biết hệ thống của mình bạn tấn công TCP SYN FLOOD ?
- Tại sao bạn lại nhận định các luồng dữ liệu là outbound, và nếu đã rõ điều này thì sao bạn lại không block được các IP như bạn đã liệt kê ra?

=> Mình cũng không có ý làm khó thớt đâu nhé, chỉ là để có được lời khuyên, hay góp ý thì mình cần có nhiều hơn thông tin từ bạn?

Với một quản trị mạng kiểm tra luồng trafic out bound hay in bound qua công cụ monitor như cacti hay nagios...
......

f_ancoong

Re: SERVER bị tấn công DDOS

DiepNV88;13275 đã viết:
Với một quản trị mạng kiểm tra luồng trafic out bound hay in bound qua công cụ monitor như cacti hay nagios...
......

Câu hỏi của mình gồm 2 ý mà DiepNV88: - Tại sao bạn lại nhận định các luồng dữ liệu là outbound, và nếu đã rõ điều này thì sao bạn lại không block được các IP như bạn đã liệt kê ra?
Nếu có sử dụng iptables và block vài ip kia bằng tay cũng không có vấn đề gì nếu bạn ý là quản trị? => đây mới là cái mình thắc mắc.

ngocuytk7

Re: SERVER bị tấn công DDOS

Chào bạn.
Cảm ơn bạn đã quan tâm tới vấn đề của mình.
Mình xin trả lời bạn như sau.hihi
-Bị tấn công TCP SYN FLOOD là do bên Viettel IDC báo cho mình(Mình thuê server bên họ) mình cũng kiểm tra bằng lệnh
Netstat -nap | grep SYN.
- Mình dùng iftop để xem thông tin vào ra của cổng eth0. Mình đã block nhưng lại có IP mới bạn ạ. Không ăn thua.
Mong bạn và mọi người giúp đỡ mình nhiều.

DiepNV88

Re: SERVER bị tấn công DDOS

Đây là trường hợp mình đã gặp nhiều ở cty thường bị trên server centos do bị dính mã độc gây lụt băng thông.
Trafic outbound do chủ thớt phân tích đưa ra bạn đọc kỹ các bài viết.
block ip chỉ là giải pháp tạm thời vì mã độc thường xuyên thay đổi ip tới các ip của các server có băng thông lớn như yahoo, bing...hoặc các ip của các công ty Việt Nam có băng thông cao.
cách triệt để là loại bỏ mã độc
Nếu là hosting thì phần mềm cpanel có tích hợp sẵn chương trình quét scan virut.
còn host thường bạn có thể seach google để biết cách tìm ra mã độc mà loại bỏ.

ngocuytk7

Re: SERVER bị tấn công DDOS

Cảm ơn bạn.
Mình đã cài anti ddos vào rồi nhưng cũng không triệt để lắm.
Bạn có cách nào chỉ mình được không.
Xin cảm ơn bạn nhiều.

python

Re: SERVER bị tấn công DDOS

Trước tiên bạn phải xác định là nó đánh vào dịch vụ nào. Hiện nay có rất nhiều cuộc tấn công là đánh bằng giao thức UDP trên port 53. Cách xử lý hiệu quả nhất là nhờ bên DC họ block gói tin UDP trên port SW cho mình. Cách này cũng đồng nghĩa mình không dùng được DNS nữa

f_ancoong

Re: SERVER bị tấn công DDOS

Dựa trên thông tin mà bạn cung cấp thì có mâu thuẫn (bị IDC nói TCP SYN FLOOD, bạn nói vấn đề ở outbound ). Để rõ hơn bạn thực hiện giúp mình 2 việc này nhé:
- Bạn thực hiện netstat -an | grep syn-received và netstat -an | grep syn-sent rồi chụp ảnh lại nhé, để xác minh xem thực sự là có phải bạn đang bị SYN Flood hay không?
- Sử dụng Tcpdump hoặc wireshark bắt một đoạn gói tin trong khoảng 1p hoặc dài hơn mà bạn thấy trong đó đủ thông tin phản ánh hiện trạng server nhé.

python

Re: SERVER bị tấn công DDOS

bạn thử làm theo hướng dẫn ở link này nhé :
http://myliteraturetechlife.com/securing-server-from-syn-flooding-dos-attack/

DiepNV88 · 30/05/2014

Re: SERVER bị tấn công DDOS

ngocuytk7;13290 đã viết:
Cảm ơn bạn.
Mình đã cài anti ddos vào rồi nhưng cũng không triệt để lắm.
Bạn có cách nào chỉ mình được không.
Xin cảm ơn bạn nhiều.

mấy hôm nay cty mình cứ cài mới centos 6.3 là băng thông lên cả gigabit
Nguyên nhân do mã độc bot net mình có up lên trên rùi đó.

nktung

Re: SERVER bị tấn công DDOS

Hi các pro
Cho mình hỏi chút là mình không hiểu sao băng thông lại đo bằng GHz????

DiepNV88

Re: SERVER bị tấn công DDOS

nktung;13316 đã viết:
Hi các pro
Cho mình hỏi chút là mình không hiểu sao băng thông lại đo bằng GHz????

Thank anh !
Viết ẩu ra đơn vị hz

SERVER bị tấn công DDOS

Số người đang xem

Thống kê diễn đàn