Назад | Перейти на главную страницу

Монитор атак сервера

Я думаю, что мы подвергались атакам на наш сервер, потому что теперь наш сервер выходит из строя каждый день. Я хочу отслеживать, что вызывает сбой сервера, есть ли атака с какого-либо сайта или его поисковый робот.

Есть ли для этого какой-нибудь инструмент? Если нет, что мне делать, чтобы выяснить, что вызывает проблему.

Отредактировано

  1. Мой сервер Linux
  2. У меня панель управления cpanel
  3. Я не проверял логи
  4. Я ничего не сделал, чтобы понять, что вызывает проблему
  5. Вот почему я пришел сюда, чтобы спросить, как мне узнать, что вызывает проблему. есть парень с нашего сервера, он сказал, что его серверная оперативная память, они сказали нам расширить оперативную память, но на нем не так много сайтов и не так много нагрузки с этих сайтов, поэтому я не понимаю, почему наша 2-гигабайтная оперативная память используется. поэтому я хочу узнать: /

Отредактировано снова

  1. Какая версия Linux (CentOS, Debian, Redhat и т. Д.)

    Ответ: CentOS

  2. Объясните, что вы имеете в виду под словом «сервер выходит из строя». Означает ли это, что весь сервер перестает отвечать, и вам нужно войти и перезапустить вручную, или вы имеете в виду, что сервер продолжает работать, но перестает отвечать только веб-сайт? Продолжает ли работать ftp, ssh и т. Д.?

    Ответ: ну мы несколько раз возглавляем сервер, который не работает. 1-й раз, когда он вышел, вы можете пропинговать его, но apache не работал. затем снова сервер отключился, и парень сказал, что это было из-за того, что хосты сервера были неправильными, поэтому они исправили это, и он больше не выйдет из строя. затем это происходит снова, даже после перезапуска, сервер не был исправлен, кто-то сразу запустил сервер. 4-й раз, я только что перезапустил, и он вернулся в онлайн. Сейчас это происходит каждый день, но обычно утром сервер работает нормально целый день, а утром выходит из строя

  3. Как вы перезапускаете что-то или оно в конечном итоге начинает работать само?

    Ответ: нет, мы должны перезапускать вручную, чтобы он начал работать, иначе он не будет работать.

Начните с просмотра журналов вашего сервера. Что-то там может указывать на то, почему сервер выходит из строя.

Люди хотели бы помочь вам, но ваши вопросы / ответы настолько расплывчаты, что им трудно помочь. Я знаю, что вы новичок, но для начала скажите нам:

  1. Какая версия Linux (CentOS, Debian, Redhat и т. Д.)
  2. Объясните, что вы имеете в виду под словом «сервер выходит из строя». Означает ли это, что весь сервер перестает отвечать, и вам нужно войти и перезапустить вручную, или вы имеете в виду, что сервер продолжает работать, но перестает отвечать только веб-сайт? Продолжает ли работать ftp, ssh и т. Д.?
  3. Как вы перезапускаете что-то или оно в конце концов начинает работать само?
  4. / var / log / messages может быть хорошим местом для поиска ошибок сервера или, возможно, ошибок нехватки памяти.

Я подозреваю, что вам не хватает памяти, как говорит ваш поставщик услуг, и, скорее всего, это связано с конфигурацией веб-сервера apache / mod_php. Я встречал именно эту проблему много раз, и это может быть очень неприятно, потому что очень часто сервер не оставляет никакой полезной информации, такой как сообщения об ошибках «недостаточно памяти» в файлах журнала.

Если у вас есть склонность к проблемам с веб-сервером, вот мои предложения по настройкам apache. Я не использую cpanel, поэтому не могу дать вам конкретных инструкций. Обязательно запишите настройку по умолчанию, если вам нужно откатиться.

  1. Отключить keepalive "KeepAlive Off"
  2. Установите StartServers на «StartServers 8».
  3. Установите MinSpareServers на «MinSpareServers 5»
  4. Установите MaxSparServers на «MaxSpareServers 20»
  5. Установите ограничение сервера на «ServerLimit 40»
  6. Установите MaxClients на «MaxClients 40»

Эти настройки должны препятствовать тому, чтобы apache / php занимали все 2 ГБ памяти. Открытие страниц с несколькими изображениями будет немного медленнее из-за отключения поддержки активности, но вам просто нужно сначала попробовать и посмотреть, работает ли ваш сервер. Если это сработает, вы можете включить поддержку активности и, возможно, изменить KeepAliveTimeout на 5 или что-то в этом роде. Если он продолжает работать, увеличивайте ServerLimit и MaxClients на 5 или 10 каждый раз.

Удачи

Редактировать:

Я не могу сказать вам наверняка, но похоже, что вашему серверу не хватает памяти. Я видел это на нескольких неправильно настроенных веб-серверах CentOS. Обычно это происходит в течение 2-3 минут. Плохо то, что он не оставляет следов того, что произошло в файлах журнала, он просто блокируется до перезагрузки. Если вы не попробуете то, что я предложил, и хотите увидеть, что на самом деле происходит, лучший / самый простой способ, который я знаю, - это использовать программу под названием поверх. Cacti, Munin и Nagios великолепны, но они не дадут вам подробных цифр, которые будут наверху. Их также намного сложнее настроить.

http://www.atoptool.nl/ Подобно верхнему, но делает снимки верхнего окна через определенные пользователем интервалы. Установите INTERVAL = 60 в /etc/atop/atop.daily, чтобы получать моментальные снимки за 1 минуту. Запустите atop -r / var / log / atop / atop_20100311, чтобы просмотреть 1-минутные интервалы для определенной даты. Используйте клавиши t и T для просмотра вперед и назад во времени. При сканировании вы сможете увидеть, какие процессы были запущены и сколько ресурсов они использовали. Как только использование памяти превысит определенный порог, показания станут красными, и вы узнаете, что у вас проблема. Следите за MEM и SWP.

Прежде всего, вы должны начать мониторинг своего сервера. хороший выбор для этого был бы Мунин и / или Nagios

особенно munin позволяет вам контролировать производительность ваших серверов и сообщать, какой пользователь или процесс собирает все ваши ресурсы

другой полезный инструмент мог бы быть Фырканье - система предотвращения и обнаружения вторжений, но ее непросто настроить

чтобы обезопасить apache «немного больше», вы можете ограничить количество обращений в минуту / IP через iptables / netfilter, у меня есть эта настройка на всех моих ящиках, но имейте в виду: 1.) это не предотвратит распределенные атаки 2.) подумайте о минимуме необходимых запросов, если вы используете ajax на своем веб-сайте

Смотреть в Безопасность и брандмауэр ConfigServer (csf + lfd). Это пакет, который можно установить в WebHost Manager, и в нем есть ряд инструментов, позволяющих вам оценить безопасность вашего сервера и автоматически блокировать хосты, выполняющие определенные виды атак. Я очень рекомендую это.

Если вы видите не атаку, а проблему с ресурсами, изучите Кактусы, SNMP и MRTG. Cacti может быть очень сложно настроить, но он создает графики использования ресурсов на вашем сервере - очень полезно, чтобы определить, слишком ли велика ваша нагрузка, у вас заканчивается оперативная память или что-то еще. Cacti собирает данные через SNMP и использует MRTG для создания своих графиков.

Вот сообщение о SNMP в CentOS.