frame

Sveiki apsilankę!

Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.

Prisijungti Registruotis

Named, bind servisas

MiXFiXMiXFiX Dalyvis (-ė)
edited 2012 rugsėjo 28 Į Pagalba
Sveiki, iš niekur nieko, padidėjo serverio naudojamas duomenų išsiuntimo srautas.

dg.png

Pastebėjau, kad serveryje esantis named procesas, retkarčiais naudoja 5-10% CPU resursų ir kartais, serveris nebeatsako į jame sukurtus subdomenus.

Serveryje įra įdiegtas DirectAdmin valdymo pultas.
Tad būtų įdomu sužinoti, kur ir kas sunaudoja beveik 2Mbps srauto, gal yra vykdoma kokia nors ataka į named servisą?

Komentarai

  • IV_RomanLIV_RomanL Interneto vizija
    edited 2012 rugsėjo 28
    Sveiki,

    gal galite peržiūrėti katalogą /var/log ir pateikti įtartinų įrašų iš esamų log failų? Pagal grafiką iš jūsų serverio iškeliauja srautas, o ne į serverį (Outgoing).
  • MiXFiXMiXFiX Dalyvis (-ė)
    edited 2012 rugsėjo 28
    Kokį būtent failą pažiūrėti? Nes nieko ten blogo nerandu. Jau beveik visą parą išsiuntimas iš serverio į pasaulį siekia 2Mbps, kas yra maksimumas.
    Tiesa, gal tai dėl DNS serverių? Nes mano serveryje yra 1 IP, kai DNS Serveriui reikia minimum 2ip, tad aš antrinį DNS serverį nukreipęs į ns.iv.lt.

    Išsiaiškinau, kad išjungus named servisą, išsiuntimo srautas sumažėja iki minimumo, kai tik procesas ijungiamas, jis pakyla iki 2Mbps. Ką tokiu atveju patartumėte daryti?

    Isirašiau http://www.cyberciti.biz/faq/dnstop-monitor-bind-dns-server-dns-network-traffic-from-a-shell-prompt/
    Radau ip adresą, kuris siunčia labai daug užklausų į mano named servisą.
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2012 rugsėjo 28
    Galimas DNS tarnybos atakavimas, pradziai reiketu pabandyti faile /etc/named.conf skiltyje "options" pridėti eilutę:

    allow-recursion { 127.0.0.1; };

    Atlikus pakeitimus DNS tarnyba turi būti perkraunama.
  • MiXFiXMiXFiX Dalyvis (-ė)
    edited 2012 rugsėjo 28
    Įrašius šį nustatymą, niekas nepakito, serveris vis dar yra atakuojamas iš 91.235.143.158 IP.
    att.png
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2012 rugsėjo 28
    Užblokuokite IP adresą:

    iptables -A INPUT -s 91.235.143.158 -j DROP
  • MiXFiXMiXFiX Dalyvis (-ė)
    edited 2012 rugsėjo 28
    IV_RomanL parašė: »
    Užblokuokite IP adresą:

    iptables -A INPUT -s 91.235.143.158 -j DROP

    Užblokavus IP adresą, užklausos vis tiek eina iš jo...

    Edit: Viskas gerai, adresas užbokuotas, problema išspresta.
Norėdami palikti komentarą, turite prisijungti arba registruokis.