3 votes

Krish avatar

Comment détecter les attaques DoS / bloquer manuellement l'IP sur Ubuntu ?

Demandé el 14 de Septembre, 2011
Quand la question a-t-elle été
5404 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un VPS avec Ubuntu. J'héberge un petit site web (~10 visiteurs en même temps). Parfois, le site web commence à traîner. Il ralentit tellement que ma connexion SSH commence à ralentir aussi. Exécution top dit que 2 instances de apache2 occupent chacun 50 % de l'unité centrale.

Je suppose qu'il s'agit d'une DoS attaque. J'ai copié-collé quelques iptables scripts qui avait du sens, mais cela n'a pas aidé.

J'ai installé libapache2-mod-evasive -- Je suis sûr que cela bloque l'attaquant, mais je suis toujours à la traîne.

Que puis-je faire ? Puis-je au moins trouver l'adresse IP de l'attaquant ?

J'ai une solide expérience de Linux, mais je n'ai pratiquement aucune expérience en tant qu'administrateur de serveur.

Demandé el 14 de Septembre, 2011 par Krish

Réponses

Trop de publicités?

3voto

Dalroth avatar
Dalroth Points 2468

Vérifiez dans le journal d'accès d'Apache si des tentatives répétées ont été effectuées par une adresse IP similaire, /var/log/httpd/access_log est l'emplacement habituel.

Vous pouvez également être intéressé par une solution automatisée telle que DDoS Deflate o PSAD . Je recommande également vivement mod_security pour Apache lui-même.

Répondu el 15 de Septembre, 2011 par Dalroth (2468 Points )

0voto

gandalf3 avatar
gandalf3 Points 141

Avez-vous renforcé Apache ou votre système d'exploitation ?

Êtes-vous en mesure d'afficher des journaux ?

Cela peut aider un peu.

http://httpd.apache.org/docs/2.0/misc/security_tips.html

Répondu el 15 de Septembre, 2011 par gandalf3 (141 Points )

-1voto

ntk4 avatar
ntk4 Points 99

Je ne saurais trop recommander Fail2ban. Il s'agit d'un démon qui s'exécute en arrière-plan et qui surveille tous vos fichiers journaux à la recherche d'activités suspectes et qui bloque ces activités sur la base des erreurs contenues dans les fichiers journaux. Cela signifie que vous devez créer les fichiers journaux d'erreurs en premier lieu, pour les serveurs web vous pouvez généralement le faire. Je l'ai fait pour NGINX tout récemment, mais je suis sûr qu'il existe une directive similaire pour Apache.

Répondu el 1 de Juillet, 2017 par ntk4 (99 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X