อยากทราบวิธีหา script บนโฮสที่ยิ่ง server ตัวเอง

boy_pishit · February 19, 2012, 8:12pm

ใช้ da ครับ อยู่ๆ ยิงตัวเอง

แล้วก็มี ticket มาบอก

New Message: *** 00.00.00.00 has been added to the ip_blacklist file ***‏

00.00.00.0 ไอพีตัวเองครับ ทุกๆ วัน เครื่องวิงลื่นดีทำงานปกติ อยู่ๆ ซัด ram, cpu, load กระจาย ไม่มีแต่บนเครื่องตัวเองนะครับ ที่อื่นก็มีครับที่ยิงเข้ามา แต่ก็ไม่รู้จะบล็อกยังไงดีเหมือนกันครับ

รู้ทั้งรู้ว่าโดนยิง แต่ไม่รู้ว่าตรงไหน หาจุดไม่เจอเลยครับ ได้แต่ restart serice mysq, httpd

เคยลง cfs firewall ก็บล็อกเว็บเข้าไม่ได้เลย ไม่เคยทำก็ต้องลบออกครับ

มีเครื่องมือป้องกันดีๆ ไหมครับ

kke · February 19, 2012, 8:24pm

Admin เก่งๆซักคน

tiptoe335 · February 19, 2012, 8:35pm

ตัวนี้ลองยัง http://help.directadmin.com/item.php?id=380

ไม่แน่ใจว่าเกี่ยวกันมั้ย

360 · February 19, 2012, 8:53pm

ip server ตัวเองยังไงก็ต้องอยู่ใน white list นะ ปล่อยให้ถูกบล๊อคไม่ได้เด็ดขาด

โดยมากที่เจอ ip ตัวเองโดนบล๊อคมาจาก smtp นี่แหละ เช็คตรงให้มันใช้ได้เฉพาะ local พอปรับค่าเป็น 1

boy_pishit · February 19, 2012, 9:04pm

แก้ไขไฟล์ไหนหรอครับ

360 · February 19, 2012, 9:12pm

ก็ config ไงครับ

SMTP_BLOCK =1

SMTP_ALLOWLOCAL =1

boy_pishit · February 19, 2012, 10:30pm

ขอถามเพิ่มได้ไหมครับ

ในขณะที่ server ของเรากำลังโดนยิง เราจะดูได้อย่างไีรครับ ว่ามาจากไอพีไหน

Pattrawut_Injan · February 19, 2012, 10:33pm

iptraf ช่วยได้ครับ

bestthaihost · February 19, 2012, 11:09pm

ใช้วิธี mod_proxy ให้ da มารันที่ port 80 อยู่หรือเปล่า

ดูแล้วน่าจะใช่

สาเหตุที่ block ip ตัวเองมาจากมี user ใส่ password da ผิดจาก port 80 ครับ

boy_pishit · February 19, 2012, 11:11pm

มี da อยู่ ไม่มีปัญหาอะไรใช่ไหมครับ

bangkok4u · February 19, 2012, 11:22pm

ถ้าถามอย่างนี้ยาวววววเลย เพราะทุกอย่างค้องใช้ความเข้าใจ ฝึกฝนและค้นหา

smartnet.co.th · February 20, 2012, 12:52pm

มันมี script ฝังอยู่ในเครื่องเรา ต้องหามันครับ ส่วนพวก firewall ต่างๆ ป้องกันจากภายนอกได้ แต่ภายในคงจะไม่ได้หรอกครับ

boy_pishit · February 20, 2012, 9:25pm

อยากใช้คำสั่ง find คำ grep ดู กรอง แต่ผมไม่รู้จะใช้คำไหนดีครับที่จะเอามาค้น

bestthaihost · February 21, 2012, 12:04am

อ่านความคิดเห็นของผมข้างบยยังครับ

มันไม่ใช่ script หรอกครับ

boy_pishit · February 21, 2012, 12:10am

จะลองปลดออกดูครับ แต่ที่ผมทำ ทำแค่โดเมนเดียวไว้ใช้ส่วนตัวนครับ

boy_pishit · February 21, 2012, 5:09pm

ด้านล่างปกติไหมครับ

netstat|grep http



tcp        0      0 localhost.localdomain:41044 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:41051 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:41039 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:41075 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:41070 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40980 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40963 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40975 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40942 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40938 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40933 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40959 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40947 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40909 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40905 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40898 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40924 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40920 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40914 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdo:csccredir localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40835 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40849 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40811 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40805 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40831 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40824 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40819 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40798 localhost.localdomain:https TIME_WAIT

tcp        0      0 localhost.localdomain:40790 localhost.localdomain:https TIME_WAIT

kke · February 21, 2012, 6:15pm

New Message: *** 00.00.00.00 has been added to the ip_blacklist file ***‏

แปลว่า IP ดังกล่าวถูก block โดย DirectAdmin สาเหตุเนื่องจากมีการ login ผิดเกินจำนวนที่กำหนดไว้ในหน้า admin settings

ถ้าเป็น ip เครื่องเราเอง

แปลว่ามีการ connect มาจาก script php เว็บใดเว็บหนึ่ง เช่น whmcs หรือเราทำ proxy reverse ให้เข้า DA จาก port 80 เอาไว้

ก็ต้องแยกพิจารณาว่าสาเหตุมาจากอันใหน ถ้าทำ proxy reverse เอาไว้ ให้แก้ไขใหม่ให้ reverse เข้า 127.0.0.1 แทน

แล้วในหน้า Admin settings ก็ติ๊กถูกที่ Prevent 127.0.0.1 from being Blacklisted ไว้ด้วย

จริงๆแล้วไม่แนะนำให้ทำ proxy เพื่อเข้า da ผ่าน port 80 เพราะ da จะเห็นทุกคนเข้ามาจาก ip เดียวกันหมดคือ ip ของ server หรือ 127.0.0.1

กรณีที่ทำไว้ เวลาโดนยิงหรือมีปัญหาก็ไปดูใน httpd log ของ domain ที่เราทำ proxy ให้เข้า da ไว้ ว่า request มาจาก ip ใหนอย่างไร ก็คือต้องไปดูที่ log ของ httpd แทน

เพราะใน log ของ da จะบอกอะไรไม่ได้ เพราะเห็นเป็น ip ของ server เข้ามาทั้งหมด

ถ้าไม่ได้ทำ proxy ให้เข้า da ผ่าน port 80 ไว้ แล้วใช้ whmcs ก็ลองไปดูใน httpd log ของ whmcs ดู