banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Nhờ trợ giúp khẩn cẩn, VPS bị tấn công DDOS  XML
  [Question]   Nhờ trợ giúp khẩn cẩn, VPS bị tấn công DDOS 03/02/2013 20:40:12 (+0700) | #1 | 273291
hv.snv
Member

[Minus]    0    [Plus]
Joined: 02/02/2013 13:18:44
Messages: 1
Offline
[Profile] [PM]
Chào mọi người!

Mình là admin của một website tương đối lớn 23K visitor /ngày, bọn mình đang dùng VPS với cấu hình 4 core, Ram 2,5GB, trang tin dùng Wordpress, diễn đàn dùng Xenforo. THời gian gần đây website thường xuyên bị quá tải mà không rõ nguyên nhân dò khả năng am hiểu về bảo mật của mình có hạn nên việc dò tìm và chống ddos mình gặp khó khăn.

Các giải pháp mình đã làm đó là cài đặt CSF, thiết định chỉ chấp nhận IP VN nhưng có vẻ như không hiệu quá. Hiện bật VPS CPU sẽ lên 100%, ram cũng nhanh chóng bị chiếm dụng hết.

Các câu lệnh kiểm tra mình tham khảo được :

netstat -n | grep :80 |wc -l ==> Dưới 500

netstat -n | grep :80 | grep SYN_RECV|wc -l ==> 18

Có vẻ nhwu đều rất bình thường.

Sáng nay sau khi được thành viên phản ánh thì mình phát hiện source code của mình đang tự động download file http://dl.dropbox.com/u/42426631/jquery-ui-min.js , xem trong đó thì nó chèn 3 iframe mỗi khi người dùng truy cập trang, 3 địa chỉ wwebsite này mình đã xác định được đều tại VN và của chung 1 người, mình đã phản ánh với đơn vị cung cấp dịch vụ sau đó họ đã suppend cả 3 website này.

Có lẽ vì cay cú nên từ sớm ngày hôm nay VPS của mình bị tấn công ồ ạt dẫn đến cứ mỡ lên là treo.

Xin các bạn hãy trợ giúp mình, làm sao để chống lại việc tấn công này, mình đang thực sự rất bối rối. Kẻ tấn công mình biết đầu đủ tên, địa chỉ và sdt, nó đã tắt máy cả ngày nay.

Đây là error log ghi nhận từ cPanel, mình chỉ lấy ví dụ 1 IP, luôn có một lượng IP nào đó request truy cập vào .htaccess.

[Sun Feb 03 21:22:56 2013] [crit] [client 118.68.227.172] (13)Permission denied: /home/****/public_html/diendan/styles/one_experience/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: http://****.vn/diendan/css.php?css=xenforo,form,public&style=9&dir=LTR&d=1359829394
[Sun Feb 03 21:22:56 2013] [crit] [client 118.68.227.172] (13)Permission denied: /home/****/public_html/diendan/styles/one_experience/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: http://****.vn/diendan/css.php?css=xenforo,form,public&style=9&dir=LTR&d=1359829394
[Sun Feb 03 21:22:54 2013] [crit] [client 118.68.227.172] (13)Permission denied: /home/****/public_html/diendan/styles/one_experience/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: http://****.vn/diendan/forums/xperia-s-sl.105/
[Sun Feb 03 21:22:54 2013] [crit] [client 118.68.227.172] (13)Permission denied: /home/****/public_html/diendan/styles/one_experience/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: http://****.vn/diendan/forums/xperia-s-sl.105/
[Sun Feb 03 21:22:54 2013] [crit] [client 123.20.152.198] (13)Permission denied: /home/****/public_html/diendan/styles/one_experience/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: http://****.vn/diendan/css.php?css=xenforo,form,public&style=9&dir=LTR&d=1359829394
[Sun Feb 03 21:22:54 2013] [crit] [client 118.68.227.172] (13)Permission denied: /home/****/public_html/diendan/styles/one_experience/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: http://****.vn/diendan/css.php?css=xenforo,form,public&style=9&dir=LTR&d=1359829394
[Sun Feb 03 21:22:54 2013] [crit] [client 118.68.227.172] (13)Permission denied: /home/****/public_html/diendan/styles/one_experience/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: http://****.vn/diendan/forums/xperia-s-sl.105/ 


Đây là thông tin top sau khi mở httpd khoảng 2 phút.



[Up] [Print Copy]
  [Question]   Nhờ trợ giúp khẩn cẩn, VPS bị tấn công DDOS 05/02/2013 06:50:47 (+0700) | #2 | 273317
tieunguyen_88
Member

[Minus]    0    [Plus]
Joined: 20/01/2013 21:24:30
Messages: 3
Offline
[Profile] [PM]
gửi đơn tới C50, sẽ có người jup bạn rồi. smilie
[Up] [Print Copy]
  [Question]   Nhờ trợ giúp khẩn cẩn, VPS bị tấn công DDOS 23/02/2013 15:09:04 (+0700) | #3 | 273600
[Avatar]
vnsec_net
Member

[Minus]    0    [Plus]
Joined: 16/08/2012 03:10:58
Messages: 32
Location: VNSEC.NET
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Nhìn vào đây có thể tham khảo mấy bài dùng IPTABLES kết hợp MODSECURITY để chặn.

IPTABLES để giới hạn request từ 1 IP.

MODSECURITY dùng để giới hạn request từ tầng trên như URL. Nhìn vào log để hình thành nên luật. Ví dụ như trên có thể chặn theo Request URL, REF,...
--
http://www.vnsec.net - Cập nhật tự động danh sách website bị hack!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|