Monitor de ataque do servidor

3

Temos recebido alguns ataques em nosso servidor, porque o nosso servidor fica inativo todos os dias agora. Quero monitorar o que está causando a queda do servidor ou se houver algum ataque de algum site ou se o rastreador estiver fazendo o ataque.

Existe alguma ferramenta para isso? Se não, o que devo fazer para descobrir o que está causando o problema?

Editado

  1. Meu servidor é linux
  2. Eu tenho painel de controle do cPanel
  3. Eu não verifiquei os registros
  4. Eu não fiz nada para ver o que está causando o problema
  5. Isso é porque eu vim aqui para perguntar como posso encontrar o que está causando o problema. tem cara do nosso servidor, ele falou seu servidor ram, eles nos disseram para estender mais ram, mas não há muitos sites sobre ele e não muitos de carga de esses sites também, então eu não vejo porque nosso ram de 2GB está se acostumando. então eu quero descobrir: /

Editado novamente

  1. Qual versão do Linux (CentOS, Debian, Redhat, etc)

    Resposta: CentOS

  2. Explique o que você quer dizer com "o servidor fica inativo". Isso significa que o servidor inteiro para de responder e você precisa entrar e reiniciar manualmente ou o servidor continua funcionando, mas apenas o site pára de responder? O ftp, o ssh, etc continuam trabalhando?

    Resposta: bem nós nos dirigimos algumas vezes servidor sendo desativado. Primeira vez, quando ele desce, você pode fazer ping, mas o apache não estava funcionando. em seguida, novamente servidor ficou para baixo e cara disse que foi causa servidores anfitriões estavam errados, por isso eles consertaram e não vai descer novamente. então isso acontecerá novamente, mesmo depois de reiniciar, o servidor não foi consertado, alguém vai iniciar o servidor. 4ª vez, acabei de reiniciar e voltou a ficar online. Acontece todos os dias agora, mas normalmente na parte da manhã, o servidor funciona bem para o dia completo, mas de manhã cai

  3. Como você está reiniciando as coisas ou acaba eventualmente começando a trabalhar sozinho?

    Resposta: não, temos que reiniciar manualmente para que comece a funcionar, caso contrário não funcionará.

por Basit 11.03.2010 / 02:01

4 respostas

4

As pessoas gostariam de ajudá-lo, mas suas perguntas / respostas são tão vagas que é difícil ajudar. Eu sei que você é um novato, mas comece nos dizendo:

  1. Qual versão do Linux (CentOS, Debian, Redhat, etc)
  2. Explique o que você quer dizer com "o servidor fica inativo". Isso significa que o servidor inteiro para de responder e você precisa entrar e reiniciar manualmente ou o servidor continua funcionando, mas apenas o site pára de responder? O ftp, ssh, etc continua funcionando?
  3. Como você está reiniciando as coisas ou acaba eventualmente começando a trabalhar sozinho?
  4. / var / log / messages pode ser um bom local para procurar erros do servidor ou possivelmente erros de falta de memória.

Eu suspeito que você esteja ficando sem memória como seu provedor de serviços diz e é mais provável que seja devido à configuração do servidor web apache / mod_php. Eu já vi esse problema exato várias vezes e pode ser muito frustrante rastrear porque muitas vezes o servidor não deixa nenhuma informação útil como mensagens de erro "sem memória" nos arquivos de log.

Se você tem uma inclinação, é o servidor web que está causando problema, aqui estão minhas sugestões para as configurações do apache. Eu não uso o cpanel, então não posso dar instruções específicas. Certifique-se de anotar a configuração padrão no caso de você precisar reverter.

  1. Desativar o keepalive "KeepAlive Off"
  2. Defina StartServers como "StartServers 8"
  3. Defina os MinSpareServers como "MinSpareServers 5"
  4. Defina MaxSparServers para "MaxSpareServers 20"
  5. Definir Limite do Servidor para "Limite do Servidor 40"
  6. Defina MaxClients para "MaxClients 40"

Essa configuração deve impedir que o apache / php consuma todos os 2G de memória. Abrir páginas com várias imagens será um pouco mais lento devido ao keepalive off, mas você só precisa tentar primeiro e ver se o seu servidor permanece ativo. Se funcionar, você pode ativar o keepalive e talvez alterar KeepAliveTimeout para 5 ou algo parecido. Se continuar trabalhando, aumente o ServerLimit e o MaxClients por 5 ou 10 vezes.

Boa sorte

Editar:

Eu não posso dizer com certeza, mas parece que seu servidor está ficando sem memória. Eu vejo isso em vários servidores web CentOS mal-configurados. Isso normalmente acontece dentro de um período de 2-3 minutos. O ruim é que não deixa um rastro do que aconteceu nos arquivos de log, apenas trava até você reiniciar. Se você não tentar o que eu sugeri e você quer ver o que está realmente acontecendo, a melhor / mais fácil maneira que eu conheço é usando um programa chamado no topo. Cactos, Munin e Nagios são ótimos, mas não fornecem os números detalhados que serão exibidos no topo. Eles também são muito mais difíceis de configurar.

link Similar ao topo, mas são necessários instantâneos da janela superior em intervalos definidos pelo usuário. Defina INTERVAL = 60 em /etc/atop/atop.daily para obter instantâneos de 1 minuto. Execute em cima de -r / var / log / atop / atop_20100311 para visualizar intervalos de 1 minuto para uma data específica. Use as teclas t e T para ver para frente e para trás no tempo. Ao analisar, você poderá ver quais processos estavam sendo executados e quantos recursos eles estavam usando. Quando o uso da memória ultrapassar determinado limite, as leituras ficarão vermelhas e você saberá que tem um problema. Fique de olho no MEM e SWP.

    
por 11.03.2010 / 08:29
4

Comece por dar uma olhada nos seus registros do servidor. Algo aí pode indicar por que o servidor está caindo.

    
por 11.03.2010 / 02:50
1

primeiro de tudo, você deve começar a monitorar seu servidor. boas escolhas para isso seriam Munin e / ou Nagios

especialmente o munin permite que você monitore o desempenho de seus servidores e informe qual usuário ou processo reúne todos os seus recursos

Outra ferramenta útil pode ser Snort - um sistema de prevenção e detecção de intrusões, mas isso não é fácil de configurar

para proteger o apache "um pouco mais" você pode limitar a quantidade de acessos / minuto / ip via iptables / netfilter , eu tenho essa configuração em todas as minhas caixas - mas lembre-se: 1.) isso não impedirá ataques distribuídos 2.) pense em um mínimo de solicitações necessárias se você usar ajax em seu site

    
por 11.03.2010 / 14:38
0

Procure em ConfigServer Security & Firewall (csf + lfd) . É um pacote que pode ser instalado no WebHost Manager e possui várias ferramentas que permitem avaliar a segurança do seu servidor e bloquear automaticamente os hosts que estão executando certos tipos de ataques. Eu recomendo strongmente.

Caso o que você esteja vendo não seja um ataque, mas um problema, procure em Cactos , SNMP e MRTG. O Cacti pode ser muito difícil de configurar, mas ele cria gráficos do uso de recursos em seu servidor - muito útil para determinar se sua carga é muito alta, se você está ficando sem RAM ou o que quer que seja. O Cacti reúne seus dados via SNMP e usa o MRTG para gerar seus gráficos.

Aqui está uma postagem sobre o SNMP no CentOS .

    
por 11.03.2010 / 14:57