[ขอความช่วยเหลือครับ] Server ถูก DDos .. T^T

jacking.p · May 24, 2011, 2:56pm

ผมทำ Linux hosing อยู่ครับ แล้วมี VPS นึงโดน DDoS จนทำให้ Connections เต็มมม ลูกค้าเลยด่าตรึมมม … 55+

อาการคือเป็นมา 2 วันแล้ว จะเป็น 2 ช่วงคือ ช่วงสายๆกับช่วงดึกๆ จะถูก DDoS จน Connections ของ Server ทั้งเครื่องนั้นเต็มเลยครับ

ทำให้ Hosting ของลูกค้าเข้าได้บ้างไม่ได้บ้าง ตอนนี้ได้ทดสอบคือในช่วงที่โดน DDoS ได้ลองผิด VPS ไปทีละเครื่องเพื่อเช็คว่า VPS ไหนที่มีปัญหา

พอปิดเจอ VPS ที่มีปัญหา อาการก็หายเลยครับ

เลยอยากจะขอความช่วยเหลือจากทุกๆท่านหน่อยครับว่าผมควรจะแก้ปัญหานี้ต่อไปอย่างไรดีครับ ตอนนี้เหนื่อยเหลือเกิน ก่อนหน้านี้ไม่รู้สาเหตุ วิ่งเข้าวิ่งออก IDC

จนเหนื่อย

ขอบคุณครับ

Pattrawut_Injan · May 24, 2011, 3:18pm

ผมพึ่งเจอเลย อาการนี้

สั่ง tcpdump -n udp ดูครับ ว่ามีไอพีไหน เข้ามา หรือออกไป ผิดปกติ

หากเจอแล้วก็บล้อคไปเลย บล็อคเสร็จ แล้วต้องไล่หานะครับ ว่าต้นตอจากอะไร

อ้อ อย่า ลืม start ต้นตอก่อน

อย่างของผม ไม่ใช่โดนเค้ายิง แต่ลูกค้าผม ไปยิงเค้า

เพราะว่าโดนแฮก wordpress เข้ามาทาง plugin

ThaiTumweb · May 24, 2011, 5:10pm

แก้ได้ยังครับ งานนี้สงสัยแจคไม่ได้ไปเที่ยวหัวหินละมั้ง

DinoNet · May 24, 2011, 6:27pm

ต้นทางกี่ IP?

jacking.p · May 25, 2011, 12:00am

เพราะได้เงื่อนงำจากคุณ Pattrawut Injan ทีมงานเลยลองตรวจสอบ VPS ที่มีปัญหาครับ

โดย search คีย์เวิร์ด eval(base64_decode ก็เจอในเว็บลูกค้าเลยครับ

เป็น script ลวดลายสวยงามมว๊ากก … มีการแทรก text ออกมาเป็นลายมังกรตัวเบ้อเริ่มเลยครับ

ไม่ได้ถ่ายมาให้ดู สรุปงานนี้อาจจะกลายเป็นซอมบี้ไปซะเองครับ ต้องลองดูคืนนี้ครับว่าจะออกมาเปนอย่างไร

แล้วเอามาเมาท์ให้ฟังกันอีกที …

*แหมมม พี่ไก่ก้ออวยซะ… ยังมีหวังว่า Week End นี้จะได้ไปเที่ยวหัวหินอยู่เนืองๆ จองบ้านไว้แล้วง่ะ

ขอบคุณพี่ไก่ด้วยครับพี่ช่วยประสานงานและให้คำปรึกษาพวกผม

ปล.อุตส่าห์ปลอมตัวเข้ามา 55+

jacking.p · May 25, 2011, 10:40am

ตอนนี้ Server นิ่งแล้วครับ เมื่อคืนก็ไม่มีอาการ เช้านี้ก้อไม่มีอาการ

สรุปว่าเป็นเพราะเว็บลูกค้าโดนแทรก Script ครับ

ขอบคุณครับ

kke · May 25, 2011, 11:21am

สรุปว่าโดนแทรก script แล้วยิง packet ออกไป ไม่ได้โดน ddos เข้ามา

Pattrawut_Injan · May 25, 2011, 11:25am

คราวก่อน ผมก็อดไปทะเล เพราะงานเข้านี่แหละ

ปล น่าจะโดนเหมือนผมนะ ลายมังกือ

jacking.p · May 25, 2011, 5:10pm

Server Down อีกแล้วครับ … ลองเข้าไปเช็คมังกือตัวเดิมที่คอมเมนท์ไปเมื่อวานก็ยังคอมเมนท์ไว้อยู่ เลยงงส์ครับว่ามันเป็นที่อะไร

ICOM · May 25, 2011, 5:20pm

ลองค้นหาใหม่อีกรอบครับ อาจจะไปวางไว้ที่อื่นอีก

icez · May 25, 2011, 5:47pm

ถ้าเป็น packet ยิงออก ลองสั่ง drop udp ทิ้งไปเลยครับ

iptables -A FORWARD -s [VPSIP] -p udp -j DROP

kke · May 26, 2011, 1:06am

eval(base64… ไม่เห็น comment เลย

ดู ftp log หรือยัง ส่วนมากมันดัก pass แล้วเข้ามาแก้ทาง ftp

ถ้าไม่เปลี่ยน pass ใหม่ แก้ให้ตายยังไงมันก็กลับมาอีกเรื่อยๆ

spinner_j · May 26, 2011, 9:29pm

ดูแล้วงานเข้าน่าดูครับ เอาใจช่วยครับสู้ๆ

้ถ้าไม่ไหวแล้วหรือไม่ว่างจริงๆ ลองจ้างพี่ๆ เพื่อนๆ มือปืนในนี้ดูครับ ปัญหาน่าจะจบ ^^

system · May 16, 2016, 8:14am