| Bir sunucuda yüksek MYSQL kullanımı bazı zamanlar gelen saldırılarlada alakalı olmaktadır sunucuya gelen yoğun DDOS veya sync ataklar sonucunda oluşabilmektedir. Problemin saldırılarla alakalı olabileceğini düşünmekte iseniz alt kısımdan devam edin; Bahsettiğiniz üzere sunucunuz zaten canavar bir makina 15 - 20 sitede Load 100 üstüne çıkıyorsa muhtemelen bir atak söz konusudur içerden veya dışardan.
Bunu tespit etmenin en kolay yollarından biriside ufak bir kaç komuttur;
Root SSH komut satırında komutları uygulayınız;
Apache portuna bir ip den kaç istek yapılıyor görmenizi sağlar;
netstat -autpn | grep :80 | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n | uniq -c | sort -n
Apache:
Yukardaki komut sonrasında bir ip'den 55 veya daha fazla bağlantı kurulduğunu görmekte iseniz bu makinanızın ddos ataklar altında olduğunu ve sitenin mysqli neden kastığını anlamanızı sağlar. Eğer durum böyle ise sunucunuzun güvenlik ayarlarını gözden geçirmeniz gerekmektedir.
Serverdaki SYNC bağlantılarını listeler;
netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
SYC:
Eğer çok fazla sync bağlantısı yer alıyorsa 30 veya daha fazla, sunucu hem ddos hemde sync atakları altında olabilir yine güvenlik ayarlarınızı kontrol etmenizi öneriyorum.
Eğer güvenlik konusunda ileri düzeyde bilginiz bulunmuyorsa, servera kuracağınız herhangi bir ddos engelleyici program veya firewallar durduk yere normal müşterilerinizi banlamaya başlar ve daha bir çok soruna yol açabilir, bu konuda bilginiz yeterli ise işlem yapın değilse bu konuda uzman bir firmadan veya kişiden hizmet/destek alınız.
Unutmayınızki bazı zamanlar ataklar sadece dışardan gelmeyedebilir, pek çok vbulletin eğer upgrade edilmemişse exploit yemeye hazır haldedir günümüzde pek çok exploit artık sunucuyu hacklemekten çok serverınızın yardımı ile başka serverlara saldırmak için üretilmekte/kullanılmaktadır. Teknik adı ile buna BotNet diyoruz, pek çok insan botnetin irc üzerinden yapılan cinsten olduğunu zannetmektedir oysaki botnet denince akla irc gelmesi ülkemiz insanları tarafından çıkartılmış bir söylentidir asıl botnetler üretilen yeni exploit çeşitleri ile gerçekleşmektedir sunucuya yerleştikten sonra sunucunun yüksek trafik hızını kullanarak istenilen hedef sunucuya sürekli isteklerde bulunur gerek apache gerek smtp vs, etkili ve gerçek botnetin açıklaması bu şekildedir ikinci kademede irc üzerine kurulan manual botnetler yer almaktadır.
Yukarda açıkladığım detaylar, bilgilendirme amaçlıdır serverımda bu sorun varmı diye telaşa kapılmayınız sadece ufak bir bilgi vermek istedim ataklarla ilgili.
Umarım probleminiz, saldırılarla ilgili değildir.
__________________
Regards,
We Develop The Future
The Revolution Of WHM/cPanel Plugins ( Automatic ShoutCast & IRC )
www.whmsonic.com
Konu WHMSonic tarafından (25.12.07 Saat 11:30 PM ) değiştirilmiştir..
|