banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Vấn đề bảo mật, tăng độ chịu tải cho website petrotimes.vn  XML
  [Discussion]   Vấn đề bảo mật, tăng độ chịu tải cho website petrotimes.vn 12/06/2011 08:51:10 (+0700) | #1 | 240390
nightwishx
Member

[Minus]    0    [Plus]
Joined: 13/11/2005 08:54:52
Messages: 2
Offline
[Profile] [PM]
Dear các bác,
E hiện đang làm quản trị viên báo petrotimes.vn. Mà thực chất ra e chỉ là thằng lập trình thôi, vấn đề về server, bảo mật hệ thống e là con gà thực thụ.

Chả là thế này, bên em đợt vừa rồi đăng tải rất nhiều thông tin, hình ảnh, video clip về vấn đề Trung Quốc xâm phạm lãnh hải, cắt cáp địa chấn ... Số lượng visitor cũng tăng rất nhanh. Đặc biệt hôm nọ em đưa cái clip về Viking 2, sau khoảng 15~ thì server đơ luôn, htop của em toàn báo 100%cpu, load average lên đến gần 1000. Không còn cách nào nữa e đành phải restart server, sau đó server lại tiếp tục bị đơ. Restart lần nữa, lần này e tắt luôn http, mysql luôn, đợi gần nửa tiếng em mới dám bật lại và tăng hết thời gian cache lên, thì thấy bình thường trở lại.

Mọi người bảo e là bị DDOS, thì e cũng biết thế. E post bài này lên mong các bác góp ý và giúp đỡ e trong vấn đề bảo mật cho server, và tính giải pháp chịu tải ra sao...

Vì web mới hoạt động nên e dùng 3 server cấu hình:
Intel(R) Xeon(R) CPU E5506 @ 2.13GHz
RAM: 4G

3 con này có 1 switch lan với nhau rồi!

- 1 server web: Server version: Apache/2.2.3
- 1 server database: MySQL client version: 5.0.77
- 1 server files ( server này chỉ chưa video thôi )
[Up] [Print Copy]
  [Discussion]   Vấn đề bảo mật, tăng độ chịu tải cho website petrotimes.vn 12/06/2011 11:23:34 (+0700) | #2 | 240413
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nightwishx wrote:
Dear các bác,
E hiện đang làm quản trị viên báo petrotimes.vn. Mà thực chất ra e chỉ là thằng lập trình thôi, vấn đề về server, bảo mật hệ thống e là con gà thực thụ.

Chả là thế này, bên em đợt vừa rồi đăng tải rất nhiều thông tin, hình ảnh, video clip về vấn đề Trung Quốc xâm phạm lãnh hải, cắt cáp địa chấn ... Số lượng visitor cũng tăng rất nhanh. Đặc biệt hôm nọ em đưa cái clip về Viking 2, sau khoảng 15~ thì server đơ luôn, htop của em toàn báo 100%cpu, load average lên đến gần 1000. Không còn cách nào nữa e đành phải restart server, sau đó server lại tiếp tục bị đơ. Restart lần nữa, lần này e tắt luôn http, mysql luôn, đợi gần nửa tiếng em mới dám bật lại và tăng hết thời gian cache lên, thì thấy bình thường trở lại.

Mọi người bảo e là bị DDOS, thì e cũng biết thế. E post bài này lên mong các bác góp ý và giúp đỡ e trong vấn đề bảo mật cho server, và tính giải pháp chịu tải ra sao...

Vì web mới hoạt động nên e dùng 3 server cấu hình:
Intel(R) Xeon(R) CPU E5506 @ 2.13GHz
RAM: 4G

3 con này có 1 switch lan với nhau rồi!

- 1 server web: Server version: Apache/2.2.3 (A)
- 1 server database: MySQL client version: 5.0.77
- 1 server files ( server này chỉ chưa video thôi ) (B) 


Hình như trang web này sử dụng php trên Centos và apache chạy "prefork" mpm cho nên hao tổn tài nguyên rất nhiều nếu có quá nhiều truy cập. Cách tốt nhất là bồ nên tạo 1 proxy server phía trước (dùng nginx hoặc apache chạy với "worker" mpm) để nhận và điều phối requests cũng như thực hiện cản lọc trong tình trạng bị DDoS. Nếu được, nên chạy php-fpm (php 5.3.x trở đi có php-fpm) trên apache hoặc trên nginx bởi vì mô hình này bền hơn và ít tốn tài nguyên hơn.

Bồ có thể share load giữa 2 servers (AB) ở trên bằng cách tạo reverse proxy trên hai servers này để trỏ đến 1 web server bên trong. Nếu được bồ nên sử dụng UNIX domain sockets giữa php-fpm và mysql thay vì sử dụng TCP/IP socket bình thường bởi vì UNIX domain socket hiệu suất hơn. Nên theo dõi tình trạng mysql để tune nó cho thích hợp, không nên sử dụng cấu hình mặc định.

Nên nâng cấp các phiên bản đang sử dụng và áp dụng bản vá trọn bộ. Đừng chạy trên các phiên bản quá cũ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Vấn đề bảo mật, tăng độ chịu tải cho website petrotimes.vn 13/06/2011 05:09:01 (+0700) | #3 | 240511
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@nightwishx: Với một website đưa tin tức, nghĩa là phần lớn request là "chỉ đọc" (read only), thì việc đầu tiên cần làm là caching. Dựng một hoặc một vài reverse proxy, dùng varnish hoặc Squid, cái gì cache được thì cache hết lại trên những con reverse proxy này. Hình như trên đây có một bài viết về Varnish thì phải. Bạn thử tìm và đọc. Nếu bạn không có kỹ năng sysadmin thì mình nghĩ nên đề nghị với lãnh đạo tìm thêm một người có kỹ năng này để hỗ trợ.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Discussion]   Vấn đề bảo mật, tăng độ chịu tải cho website petrotimes.vn 14/06/2011 13:02:49 (+0700) | #4 | 240733
nightwishx
Member

[Minus]    0    [Plus]
Joined: 13/11/2005 08:54:52
Messages: 2
Offline
[Profile] [PM]
Cảm ơn các bác! E cũng đang nhờ 1 người xem lại sercurity cho web. Với cả cũng tiến hành xong xong việc nâng cấp các gói phần mềm, cài thêm proxy... Có gì trục trặc e xin hỏi các bác sau nhé!
[Up] [Print Copy]
  [Discussion]   Vấn đề bảo mật, tăng độ chịu tải cho website petrotimes.vn 14/06/2011 14:03:11 (+0700) | #5 | 240743
mapthulu
Member

[Minus]    0    [Plus]
Joined: 10/06/2011 12:16:42
Messages: 28
Offline
[Profile] [PM]
@anh mrro: sử dụng varnish em nhận thấy nó 'nặng' hơn nếu so sánh với nginx. Vả lại nginx việc cache cũng khá tốt.

@nightwishx: bạn yên tâm là chủ để bạn có liên quan mật thiết đến vấn đề ai-cũng-biết và sẽ đưa ra những phương án hỗ trợ cho bạn, chẳng hạn anh comale và anh mrro.
Về cache, bạn có thể tìm hiểu thêm về memcached nữa nhé
[Up] [Print Copy]
  [Discussion]   Vấn đề bảo mật, tăng độ chịu tải cho website petrotimes.vn 15/06/2011 09:20:55 (+0700) | #6 | 240836
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Vậy là công ty bạn này cũng là nạn nhân của phong trào
http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/25096/petrotimes-vn-bi-hacker-tan-cong-xoa-du-lieu.html

Nói chung là đầu tư dịch vụ công phải có chuyện lo xa này nọ. Tính toán tiết kiệm chi li hơn thua vài triệu đồng là lảnh của nợ khi có chuyện.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|