Syn flood útok na VPS
Pěkné pondělí do Wedosu. Dnes na můj virtuální server jede dost brutální útok z Číny (několik logů se mi povedlo zachytit). Jenže útok nadále trvá, restart samozřejmě nepomohl. Nedokážu s tím nic udělat, protože se na server nejde přihlásit přes ssh. Víte, co s tím?
Díky!
11 Answers
Pokud chcete zahodit celý provoz z určité země, doporučuji nasadit pro blokaci kombinaci ipsetů a iptables, přičemž takto blokovaný provoz nelogovat.
Podle grafů v OpenNebule už je síťový i diskový provoz ok, ale CPU jede na víc než 100 %. Takže je nejspíš VPS zahlceno prací firewallu.
Už jsem přišel na to, jak sem vložit obrázek. Tohle vidím místo VNC.
Uf, děkuju za upřesnění. Naštěstí teď večer útok lehce ustal, tak už se šlo přihlásit na ssh. Už jsem Čínu zablokoval dle http://www.ipdeny.com/ipblocks/data/countries/cn.zone – šlo o takové zvláštní HTTP požadavky: „POST /heartbeat/heartbeat HTTP/1.1“ 404 196 „-“ „Dalvik/2.1.0 (Linux; U; Android 8.0.0; ChangHong Android TV Build/OPR6.170623.013)“
I tak díky za pomoc. Pokud se situace bude někdy opakovat, použiju postup, který jste mi napsal.
Dobrý den,
udělejte to takto. V administraci Open Nebuly server vypněte, odpojte síťové připojení, server zase zapněte a přes KVM si na serveru nastavte co potřebujete, tedy blokování IP adres na firewallu.
To je ten odkaz VNC, že? Obrazovku vidím, je plná syn-flood logů a téměř nereaguje (zkouším mačkat třeba jen enter). Dřív jsem se tam přihlašoval, když jsem si třeba nějak pokazil přístup přes ssh. Ale teď tam nemůžu nic.