Syn flood útok na VPS
Pěkné pondělí do Wedosu. Dnes na můj virtuální server jede dost brutální útok z Číny (několik logů se mi povedlo zachytit). Jenže útok nadále trvá, restart samozřejmě nepomohl. Nedokážu s tím nic udělat, protože se na server nejde přihlásit přes ssh. Víte, co s tím?
Díky!
11 Answers
Pokud chcete zahodit celý provoz z určité země, doporučuji nasadit pro blokaci kombinaci ipsetů a iptables, přičemž takto blokovaný provoz nelogovat.
Už jsem přišel na to, jak sem vložit obrázek. Tohle vidím místo VNC.
Podle grafů v OpenNebule už je síťový i diskový provoz ok, ale CPU jede na víc než 100 %. Takže je nejspíš VPS zahlceno prací firewallu.
Uf, děkuju za upřesnění. Naštěstí teď večer útok lehce ustal, tak už se šlo přihlásit na ssh. Už jsem Čínu zablokoval dle http://www.ipdeny.com/ipblocks/data/countries/cn.zone – šlo o takové zvláštní HTTP požadavky: „POST /heartbeat/heartbeat HTTP/1.1“ 404 196 „-“ „Dalvik/2.1.0 (Linux; U; Android 8.0.0; ChangHong Android TV Build/OPR6.170623.013)“
I tak díky za pomoc. Pokud se situace bude někdy opakovat, použiju postup, který jste mi napsal.
Dobrý den,
udělejte to takto. V administraci Open Nebuly server vypněte, odpojte síťové připojení, server zase zapněte a přes KVM si na serveru nastavte co potřebujete, tedy blokování IP adres na firewallu.
To je ten odkaz VNC, že? Obrazovku vidím, je plná syn-flood logů a téměř nereaguje (zkouším mačkat třeba jen enter). Dřív jsem se tam přihlašoval, když jsem si třeba nějak pokazil přístup přes ssh. Ale teď tam nemůžu nic.