VPS bị DDoS - cần sự giúp đỡ

[Hoa8888]

Chào các bạn, mình có 1 em VPS chỉ để chạy websever, dạo gần đây vps của mình hay bị DDoS, mình chỉ tập toẹ quản lý vps nên không chuyên sâu về anti-ddos.
Mình xem log thì được đoạn như sau

[COLOR=#000000][FONT=Helvetica Neue]144.76.235.235 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1.3; [/FONT][/COLOR][URL="http://timvoron.com%3B/"]http://timvoron.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]216.185.52.94 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 359 "-" "WordPress/3.3.2; [/FONT][/COLOR][URL="http://www.indiandrives.com/"]http://www.indiandrives.com[/URL][COLOR=#000000][FONT=Helvetica Neue]"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]54.221.211.58 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1.5; [/FONT][/COLOR][URL="http://www.daquidali.com.br%3B/"]http://www.daquidali.com.br;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 107.21.219.51"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]72.47.224.25 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.0.5; [/FONT][/COLOR][URL="http://marketplicity.com%3B/"]http://marketplicity.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]167.114.156.31 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1.5; [/FONT][/COLOR][URL="http://fireworksimages.net%3B/"]http://fireworksimages.net;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]209.236.126.94 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/3.9.1; [/FONT][/COLOR][URL="http://diagramasde.com%3B/"]http://diagramasde.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]104.131.114.214 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.0.5; [/FONT][/COLOR][URL="http://hendohover.com%3B/"]http://hendohover.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]205.186.154.178 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1; [/FONT][/COLOR][URL="http://www.stockwisedaily.com%3B/"]http://www.stockwisedaily.com;[/URL][COLOR=#000000][FONT=Helvetica Neue]verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]37.59.26.199 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1.1; [/FONT][/COLOR][URL="http://noticiada.com%3B/"]http://noticiada.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]192.190.82.167 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/3.6; [/FONT][/COLOR][URL="http://emmasaying.com/"]http://emmasaying.com[/URL][COLOR=#000000][FONT=Helvetica Neue]"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]85.17.139.161 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.2.2; [/FONT][/COLOR][URL="http://woogamaster.com%3B/"]http://woogamaster.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]111.93.241.170 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/3.7.8; [/FONT][/COLOR][URL="http://www.chauthiduniya.com%3B/"]http://www.chauthiduniya.com;[/URL][COLOR=#000000][FONT=Helvetica Neue]verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]185.38.251.154 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1.5; [/FONT][/COLOR][URL="http://divergentebrasil.com%3B/"]http://divergentebrasil.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]198.61.170.9 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 359 "-" "WordPress/3.5.1; [/FONT][/COLOR][URL="http://valiantuniverse.com/"]http://valiantuniverse.com[/URL][COLOR=#000000][FONT=Helvetica Neue]"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]89.190.194.5 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1; [/FONT][/COLOR][URL="http://hardwarebg.com%3B/"]http://hardwarebg.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]212.74.13.206 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1.5; [/FONT][/COLOR][URL="http://www.maritalaffair.co.uk%3B/"]http://www.maritalaffair.co.uk;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]50.16.54.51 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1.5; [/FONT][/COLOR][URL="http://keas.com%3B/"]http://keas.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]37.187.150.102 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/3.9.1; [/FONT][/COLOR][URL="http://tatilovespearls.com%3B/"]http://tatilovespearls.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]198.23.71.66 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 359 "-" "WordPress/3.5.2; [/FONT][/COLOR][URL="http://googirl.jp/"]http://googirl.jp[/URL][COLOR=#000000][FONT=Helvetica Neue]"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]148.251.238.44 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1.1; [/FONT][/COLOR][URL="http://quiz.cinspace.it%3B/"]http://quiz.cinspace.it;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]173.255.248.4 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1.5; [/FONT][/COLOR][URL="http://www.trypnauralmeditation.com%3B/"]http://www.trypnauralmeditation.com;[/URL][COLOR=#000000][FONT=Helvetica Neue]verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]5.9.71.112 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/3.5; [/FONT][/COLOR][URL="http://www.sureshkumar.net/"]http://www.sureshkumar.net[/URL][COLOR=#000000][FONT=Helvetica Neue]"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]94.23.166.185 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1; [/FONT][/COLOR][URL="http://lets-plays.de%3B/"]http://lets-plays.de;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]94.23.166.185 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1; [/FONT][/COLOR][URL="http://lets-plays.de%3B/"]http://lets-plays.de;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]192.99.70.76 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.0.5; [/FONT][/COLOR][URL="http://movit.net%3B/"]http://movit.net;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 108.162.222.158"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]104.236.18.106 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.0.5; [/FONT][/COLOR][URL="http://rnrgoldmineads.com%3B/"]http://rnrgoldmineads.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]174.138.169.26 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1; [/FONT][/COLOR][URL="http://marcustroy.com%3B/"]http://marcustroy.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 103.27.237.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]52.4.226.101 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/4.1.1; [/FONT][/COLOR][URL="http://hubcum.com%3B/"]http://hubcum.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 10.0.3.76"[/FONT][/COLOR]
[COLOR=#000000][FONT=Helvetica Neue]5.9.106.6 - - [14/Jul/2015:00:48:58 -0400] "GET / HTTP/1.0" 200 318 "-" "WordPress/3.9.6; [/FONT][/COLOR][URL="http://gunxeber.com%3B/"]http://gunxeber.com;[/URL][COLOR=#000000][FONT=Helvetica Neue] verifying pingback from 173.245.62.60"[/FONT][/COLOR]

Mình post lên đây mong nhận được sự giúp đỡ của mọi người.
Thanks!

 

Re: VPS bị DDoS - cần sự giúp đỡ

Mời anh em góp ý hỗ trợ bạn Hoa888.

 

Re: VPS bị DDoS - cần sự giúp đỡ

Loại tấn công: xmlrpc pingback ddos. Cho mình hỏi vps bạn có những ứng dụng bảo vệ nào? Modsecurity, iptables.....

 

Re: VPS bị DDoS - cần sự giúp đỡ

Vps mình sử dụng kloxomr nên có cài sẵn iptable.

 

Re: VPS bị DDoS - cần sự giúp đỡ

Vps mình sử dụng kloxomr nên có cài sẵn iptable.

Phương pháp tạm thời là bạn nên chặn các ip request tới link GET / HTTP/1.0 lặp lại nhiều lần.
còn lâu dài thì phải đầu thư Firewall chống ddos.

 

Re: VPS bị DDoS - cần sự giúp đỡ

Phương pháp tạm thời là bạn nên chặn các ip request tới link GET / HTTP/1.0 lặp lại nhiều lần.
còn lâu dài thì phải đầu thư Firewall chống ddos.

1 dạng như kiểu cloudflare đó phải không b?

 

Re: VPS bị DDoS - cần sự giúp đỡ

Bạn có thể tham khảo thêm bài này nhé: http://forum.ceh.vn/Bao-toan-server...WordPress-thread-7330-post-27856.ceh#pid27856

 

Re: VPS bị DDoS - cần sự giúp đỡ

Bạn có thể tham khảo thêm bài này nhé: http://forum.ceh.vn/Bao-toan-server...WordPress-thread-7330-post-27856.ceh#pid27856

Mình đã phải shutdown VPS từ hôm qua đến giờ, sáng nay có boot lên nhưng có vẻ họ vẫn chưa buông, việc VPS load rất lâu nên mình cũng đã chẳng thể nào truy cập đc ssh. Đáng tiếc là mình thuê VPS nước ngoài nên mình có nhờ họ, và nhận được câu trả lời là họ không có sự giúp đỡ cũng như là dịch vụ nào có thể cung cấp để giúp mình. Chắc phải shutdown VPS mấy ngày quá

 

Re: VPS bị DDoS - cần sự giúp đỡ

Mình có vài hướng cho bạn thế này
1.Dùng Clound https://www.cloudflare.com/
2.Cài CSF firewall
3.Xây dựng lại hệ thống firewall
4.Cấu hình lại iptables.

 

Re: VPS bị DDoS - cần sự giúp đỡ

Phương pháp tạm thời là bạn nên chặn các ip request tới link GET / HTTP/1.0 lặp lại nhiều lần.
còn lâu dài thì phải đầu thư Firewall chống ddos.

Cách này không hiệu quả tý nào ...

 

Re: VPS bị DDoS - cần sự giúp đỡ

Nguyên nhân bị ddos và cách để không bị lợi dụng để ddos thì xem tại đây :
http://forum.ceh.vn/Bug-tan-dung-lo-hong-o-file-xmlrpcphp-de-tan-cong-DDOS-thread-6976.ceh

 

Re: VPS bị DDoS - cần sự giúp đỡ

#!/usr/bin/env sh

tail -f /var/log/nginx/access.log | awk '
BEGIN { blacklist[0]="" }
/pingback/ {
	ip = $1
	if (!(ip in backlist)){
		blocked_ips[ip]++
		"date" | getline currentTime
		close("date")
		
		print currentTime" :: blocking " ip
		iptables_block = "iptables -I INPUT 1 -p tcp -s " ip " -j DROP"
		system(iptables_block)
		close(iptables_block)
	}
}'

Do bạn ko có waf nên mình viết 1 script parse log và đẩy sang cho iptables block ip tấn công. Bạn cần đổi lại đường dẫn đến file log của bạn. Hy vọng giúp ích được cho bạn.

 

Re: VPS bị DDoS - cần sự giúp đỡ

#!/usr/bin/env sh

tail -f /var/log/nginx/access.log | awk '
BEGIN { blacklist[0]="" }
/pingback/ {
    ip = $1
    if (!(ip in backlist)){
        blocked_ips[ip]++
        "date" | getline currentTime
        close("date")
        
        print currentTime" :: blocking " ip
        iptables_block = "iptables -I INPUT 1 -p tcp -s " ip " -j DROP"
        system(iptables_block)
        close(iptables_block)
    }
}'

Do bạn ko có waf nên mình viết 1 script parse log và đẩy sang cho iptables block ip tấn công. Bạn cần đổi lại đường dẫn đến file log của bạn. Hy vọng giúp ích được cho bạn.

Dẫu sao vẫn cám ơn bạn. Hiện tại VPS mình đơ đơ r, k cả vào đc ssh

 

Re: VPS bị DDoS - cần sự giúp đỡ

#!/usr/bin/env sh

tail -f /var/log/nginx/access.log | awk '
BEGIN { blacklist[0]="" }
/pingback/ {
    ip = $1
    if (!(ip in backlist)){
        blocked_ips[ip]++
        "date" | getline currentTime
        close("date")
        
        print currentTime" :: blocking " ip
        iptables_block = "iptables -I INPUT 1 -p tcp -s " ip " -j DROP"
        system(iptables_block)
        close(iptables_block)
    }
}'

Do bạn ko có waf nên mình viết 1 script parse log và đẩy sang cho iptables block ip tấn công. Bạn cần đổi lại đường dẫn đến file log của bạn. Hy vọng giúp ích được cho bạn.

Không phải User-Agent nào cũng dính String pingback hết đâu bồ à. Và dùng Script kiểu này mà crond thì hơi bị chua đấy.

 

Re: VPS bị DDoS - cần sự giúp đỡ

Không phải User-Agent nào cũng dính String pingback hết đâu bồ à. Và dùng Script kiểu này mà crond thì hơi bị chua đấy.

Cái này chỉ dùng khi bắt đầu bị tấn công thôi. Không nên để cron. Có thể sửa lại pingback thành WordPress. Mình viết vội nên ko để ý hết đoạn log bạn ý đưa nên.