Пів року розробляли сайт з програмістом, дві дні назад запустили, все добре, почав індексуватись. Учора ввечері почалась нагрузка на CPU, знайшов файл с багатьма ip різних країн на auth.log . Допоможіть зрозуміти це DDoS-атака чи просто боти Google?
Дякую усім за поради, питання вирішене, адмінам окремо за оперативність
Для початку саме легко це access log вебсайту перегляньте.
whois’ом перегляньте кому належать IP, що дрочать вебсайт.
Буває, що й гугл бот нормально так сайт навантажує
Якшо є можливість, то прикрийтесь cloudflare-ом
це DDoS-атака чи просто боти Google?
це вже сервер ломанули і когось іншого з нього ддосят чи майнять, чи одночасно та наввипередки, якщо через дюрку вже цілий натовп на той сервер вломився
На другий день після запуску сайта, весело ввас тут у відкритому доступі :) дякую усім за пояснення, будемо міркувати.
1. Повністю відключіть SSH password-based authentication. Використовуйте лише SSH Public Key Authentication. Змініть SSH порт, що замовчуванню 22 на щось інше, наприклад 9353.
2. Ви логуєтесь з-під користувача root, це погано, краще з-під юзера, котрий може логуватись в рута з окремим паролем.
3. У вас чітко пише authentication failure для IP 218.92.0.117. Це Китай, а китайці будуть вас брутфорсити 24/7.
4. Заблокуйте весь Китай по GeoIP.
А ще краще, налаштувати доступ до SSH лише з певних (ваших) айпі-адрес і блокувати все інше.
акцептед пассворд фор юзер руут
якщо 224.11 не ваш ойпішник, то тоді підозріло. А якщо ваш — зачим логінитися і розлогінюватися постійно?
боти (котрі павуки гугєля/бінга) в ssh не ходють. А ходять тисячі різноманітних сканерів і це зараз норма. ssh не мав би значного навантаження давати
ддос і інше дивіться в /вар/лог/нжинкс/*.лог (чи куди там логи сервера пишуться). Хто звідки і куди ходить.
Dmitriy Zuev
Олександр Б
Melnyczenko Mel
Oleg Korol
skipper
Taras Terletsky
Олександр Мощенко
8 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів