Aşırı cpu kullanımı

son iki gündür sanıyorum makinam saldırı alıyor. fakat ne şekilde olduğunu çözemiyorum. şu anda top ekranında 42.00 kullanımı var.

[root@nirata ~]# netstat -an | grep ":80 "| awk '{print $5}'|cut -d":" -f1 | sort |uniq -c | sort -nr | head -20 | grep -v -E "127.0.0.1|0.0.0.0"
359
[root@nirata ~]#

netstat a baktığımda yukarıdaki sonuçla karşılaşıyorum. normalde 100 civarını geçmemekteydi. saldırı olduğu kesin fakat bugüne kadar gördüğüm saldırılarda bu komutun ardından aşağı doğru en çok bağlantı açan ipleri listeliyordu ve o iplere ban atıyordum.

bu saldırıya karşı ne yapabilirim, nasıl durdurabilirim fikri olan var mı?

şu anki top ekranı:

top - 23:50:02 up 2:09, 1 user, load average: 36.56, 33.37, 26.17
Tasks: 238 total, 56 running, 170 sleeping, 8 stopped, 4 zombie
Cpu(s): 95.7% us, 4.3% sy, 0.0% ni, 0.0% id, 0.0% wa, 0.0% hi, 0.0% si
Mem: 969644k total, 853808k used, 115836k free, 27504k buffers
Swap: 1959920k total, 380k used, 1959540k free, 185724k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
20276 apache 16 0 28072 9376 3620 S 17.6 1.0 0:05.24 httpd
19653 apache 16 0 34304 15m 3648 S 8.3 1.6 0:11.44 httpd
21218 apache 16 0 27984 9184 3556 S 8.0 0.9 0:00.87 httpd
20547 apache 16 0 29096 10m 3608 R 6.0 1.1 0:01.64 httpd
21204 apache 16 0 27900 9100 3556 S 5.6 0.9 0:00.28 httpd
21317 apache 16 0 27916 9080 3524 S 4.6 0.9 0:00.20 httpd
20277 apache 16 0 28064 9396 3648 S 3.3 1.0 0:04.82 httpd
19614 apache 16 0 28084 9416 3648 S 2.7 1.0 0:08.81 httpd
20529 apache 16 0 28036 9252 3572 S 2.7 1.0 0:05.92 httpd
21210 apache 16 0 27996 9192 3552 S 2.3 0.9 0:00.64 httpd
21246 apache 17 0 32752 13m 3176 R 2.3 1.4 0:00.57 httpd
21316 apache 16 0 27944 9116 3528 S 2.3 0.9 0:00.07 httpd
21328 apache 17 0 28948 9596 3072 R 2.3 1.0 0:00.07 httpd
19583 apache 16 0 28156 9484 3644 S 2.0 1.0 0:04.75 httpd
19645 apache 16 0 28072 9344 3628 S 2.0 1.0 0:05.70 httpd
19650 apache 15 0 28056 9384 3648 D 2.0 1.0 0:03.57 httpd
21206 apache 16 0 28208 9432 3580 S 2.0 1.0 0:00.47 httpd

makine özellikleri:

amd 3800 1gb ram plesk

Ya cok saldiri aliyorsunuz yada cok hit aliyorsunuz, kaynagini ucretli olarak tespit edebilirim. Dilerseniz erisim bilgilerinizi p.m ile gonderiniz fiyati orada belirteyim.

phpsuexec açıp bi user a bakıp o siteyi suspend etmek belki sorunu çözene kadar seni rahatlatır.

son 1 haftadır aynı sorunu bizde yasıyoruz. durun tahmin ediyim. sunucu yükünüz load ve ram normal ama hatta bir dalgalanma ve de belli saatlerde ağırlaşmalar yasıyorsunuz sunucuda. cpu degeriniz nobody http ler ile yüksek değerler veriyor.

büyük ihtimalle size bizim gibi son 1 haftadır aldığımız syn attack lardan alıyorsunuz...

dc niz neresi ?

komutu ile gercek anlamda syn alip almadiginizi gorebilirsiniz..

akarweb' Alıntı:

son 1 haftadır aynı sorunu bizde yasıyoruz. durun tahmin ediyim. sunucu yükünüz load ve ram normal ama hatta bir dalgalanma ve de belli saatlerde ağırlaşmalar yasıyorsunuz sunucuda. cpu degeriniz nobody http ler ile yüksek değerler veriyor.

büyük ihtimalle size bizim gibi son 1 haftadır aldığımız syn attack lardan alıyorsunuz...

dc niz neresi ?

Genişletmek için tıkla ...

Tahmin etmenize gerek yok, apache adli bir kullanicinin httpd servisini kullandigi, arkadasin belirtmis oldugu logda acik sekilde gozukmekte zaten.

phpsuexec açıp bu nobody lerin hangi user olduğunu görüp daha ayrıntılı incelemenizi öneririm.

SYN flood alıyorsunuz toplist saldırısı filan olabılır