Назад | Перейти на главную страницу

Сайт замедлился, возможна DDOS-атака

Сегодня я столкнулся с большой проблемой. Мой сайт работает очень медленно. Все перепробовал и ничего не помогло. Я отключил mysql, и мой веб-сайт все еще медленно загружал статическую страницу. Я также перезапустил сервер. Я также отключил apache и попытался что-то обновить с помощью yum, а также протестировал lynx -dump test.com, и на создание дампа уходит много времени.

после выполнения этой команды

netstat -an | grep УСТАНОВЛЕН

У меня много таких связей

udp 0 0 здесь.my.ip.number: 52644 ip.109.188.1: 53 УСТАНОВЛЕНО

udp 0 0 здесь.my.ip.number: 52782 ip.109.188.1: 53 УСТАНОВЛЕНО

udp 0 0 здесь.my.ip.number: 53573 ip.109.188.1: 53 УСТАНОВЛЕНО

Я думаю, что этот ip - злоумышленник, которого я пытался заблокировать с помощью iptables

/ sbin / iptables -I INPUT -s ip.109.188.1 -j DROP

но я все еще вижу это, когда использую netstat.

каждый раз, когда я перезапускаю процесс apache, он заполняется очень быстро, но с памятью все в порядке, у меня все еще есть 2 ГБ, но около 200 спящих процессов.

Пожалуйста, помогите мне кому-нибудь, мой сайт не работает несколько часов, это сводит меня с ума, и мой хозяин Godaddy не смог мне помочь. Они сказали, что это моя база данных. Я использую VPS и centos 5.

Это не DDoS-атака (наверное). Скорее, ваш сервер просто выполняет чрезмерное количество исходящих DNS-запросов.

Хотя они будут накапливаться, если вы пытаетесь использовать медленный преобразователь для запроса большого количества имен, основная причина, вероятно, заключается в том, что вы используете службу, которая выполняет запросы rDNS при большом объеме трафика.

Конкретная причина этих запросов зависит от того, для чего используется ваш сервер, но распространенными причинами являются SMTP-серверы (проверка rDNS, чтобы увидеть, соответствует ли он представленному имени хоста или выглядит динамически, для фильтрации спама) и демоны IRC (для определения масок хостов) . Apache тоже может вызывать эти запросы (используйте HostnameLookups Off директиву, как указано в комментариях, чтобы отключить ее).

В зависимости от содержимого DNS-запросов это также может указывать на наличие вредоносного ПО на вашем хосте, которое запрашивает DNS, хотя это одна из наименее вероятных причин.

Чтобы определить процесс, ответственный за открытие этих подключений, добавьте -p в netstat и наблюдайте, какой процесс связан с соединениями с исходящим портом UDP / 53.