Website abrandado, possível ataque DDOS

1

Estou enfrentando um grande problema hoje. Meu site é muito lento. Eu tentei de tudo e nada ajudou. Eu desativei o mysql e meu site ainda estava lento carregando uma página estática. Eu também reiniciei o servidor. Eu também desabilito o apache e tentei atualizar algo usando o yum e também testei lynx -dump test.com e está levando muito tempo para fazer o despejo.

depois de executar este comando

netstat -an | grep ESTABELECIDO

Eu tenho muitas conexões como esta

udp 0 0 here.my.ip.number: 52644 ip.109.188.1: 53 ESTABELECIDO

udp 0 0 here.my.ip.number: 52782 ip.109.188.1: 53 ESTABELECIDO

udp 0 0 here.my.ip.number: 53573 ip.109.188.1: 53 ESTABELECIDO

Eu acho que esse ip é um invasor que eu tentei bloquear usando o iptables

/ sbin / iptables -I INPUT -s ip.109.188.1 -j DROP

mas ainda vejo quando uso o netstat.

toda vez que eu reiniciar o processo do apache, é muito rápido, mas a memória está boa, eu ainda tenho 2gb livres, mas cerca de 200 processos para dormir.

Por favor me ajude, meu site está fora por várias horas, isso está me deixando louco e meu anfitrião Godaddy não poderia me ajudar. Eles disseram que era meu banco de dados. Eu estou usando VPS e centos 5.

    
por Victor 23.11.2012 / 01:55

1 resposta

1

Este não é um ataque de DDoS (provavelmente). Em vez disso, seu servidor está simplesmente criando um número excessivo de consultas DNS de saída.

Embora estes se acumulem se você estiver tentando usar um resolvedor lento para consultar muitos nomes, a causa principal é que você está executando um serviço que está fazendo consultas rDNS em muito tráfego.

O motivo específico para essas consultas depende do uso do seu servidor, mas as causas comuns são os servidores SMTP (verificando se o rDNS corresponde ao nome do host ou aparência dinâmica, para filtragem de spam) e daemons de IRC (para determinar hostmasks). O Apache também pode causar essas consultas (use a diretiva HostnameLookups Off conforme mencionado nos comentários para desativá-la).

Dependendo do conteúdo das consultas DNS, também pode indicar que você tem malware no seu host que está consultando o DNS, embora essa seja uma das causas menos prováveis.

Para determinar o processo responsável por abrir essas conexões, adicione a opção -p ao netstat e observe qual processo está associado às conexões com uma porta de saída do UDP / 53.

    
por 26.06.2013 / 02:45