ICOM
1
ไม่รู้ว่าจะถามยังไงดีเหมือนกัน เอาแบบนี้แหละครับ
รู้ได้ยังไงว่าเครื่องเราโดนยิง
อย่างเครื่องผมปรกติเคยมี New TCP Connections (ดูจาก MRTG) ประมาณ 3-400
ช่วงนี้เพิ่มขึ้นแบบแปลกๆ 1500 - 2000 เลย
คุณ kke แนะนำให้ดู Apache Server Status
ก็ไม่เห็นมี ไฟล์อะไรแปลก ip ก็กระจาย ไม่ซ่ำๆกัน
top ดู cpu ก็แค่ load average: 0.02, 0.06, 0.01
ตอนนี้ stop service SMTP ไว้ก่อน กลัวส่ง spam ออก
มีที่ไหนที่ผมควรดูอีกครับ โปรดชี้แนะ
Port ไหนคิดว่าโดนละครับ ลองใช้ tcptrack
ICOM
3
[quote author=hack3rb43 link=topic=7549.msg70919#msg70919 date=1187181778]
Port ไหนคิดว่าโดนละครับ ลองใช้ tcptrack
mean
4
ลอง netstat -an ดูก่อนครับผม พี่ธี ว่ามี connection เยอะแปลกๆ ไหม เช่น นานเกินไป จำนวนมาก เกินไป
บางที การที่ มี connection ขึ้นมาเยอะๆ ก็ไม่ได้เป็นการโดนยิงครับ อาจมีเว็บไซต์ของสมาชิก ไปทำ seo อะไรหรือไปโพสปล่อย file บางอันไหม
หรือเว็บของสมาชิกเพิ่งดังไรประมาณนี้ครับ
ผมเคยเจอเว็บสมาชิกท่านนึง
เพิ่งเปิดเว็บได้ สาม วันวันที่สี่ คนเข้าหลายพันคน ทั้งๆ ที่โดเมนจดใหม่ หุหุ
ลอง top ดูครับว่ามี process อะไรค้างแปลกๆ ไหม
ลอง ดู Apache Status อย่างที่พี่ kke บอกครับ
เสริมครับ ถ้า Debian Ubuntu ก็ apt-get install tcptrack
ICOM
6
netstat -an (ผลบางส่วน)
tcp
มันเป็น port ที่ถูกเปิดขึ้นมาเพื่อติดต่อไปยัง server ปลายทางครับ จะเห็นว่ามันติดต่อไปที่ port 25 คือทำการส่งเมล์ไปยังปลายทาง
ICOM
9
[quote author=hack3rb43 link=topic=7549.msg70930#msg70930 date=1187191746]
ผมว่าไม่มีไรหรอกมั้งครับ
bunpot
10
FIN_WAIT1, SYN_SENT, ESTABLISHED ,TIME_WAIT
พวกนี้คือสถานะการทำงานน่ะครับ เชื่อมต่อได้ รอ และอื่นๆ
ประมาณนั่นน่ะครับ
![:slight_smile: :slight_smile:](https://d.thaihosttalk.com/images/emoji/twitter/slight_smile.png?v=12)
kke
11
กราฟ tcp connection ที่เห็นพุ่งขึ้นมาน่าจะโดน spam http connection ผ่าน form mail เวบใดเวบหนึ่งที่มีช่องโหว่ให้ส่งไปหาคนอื่นได้
หลังจากผ่านไปสักพักหากตรวจสอบ mail queue ก็จะพบว่ามีเมล์ค้างจำนวนหนึ่ง เนื่องจากระบบส่งออกไม่ทัน
วิธีป้องกัน คืออุดช่องโหว่ของ script form mail ที่มีปัญหา
หรือในเบื้องต้นอาจนำ captcha มาช่วยป้องกันการ spam ด้วย robot ครับ
ปล. netstat กับ server status จะเป็นค่าตอนที่เรียกคำสั่งครับ ซึ่งถ้าเครื่องค้างแล้ว boot ใหม่ มาเรียกคำสั่งพวกนี้ก็จะไม่ค่อยมีประโยชน์ครับ
ปกติเครื่องที่มีปัญหามันจะมีปัญหาลักษณะเดิมๆซ้ำๆทุกวันเวลาเดิมครับ ผมก็จะตั้ง cron ให้เรียกคำสั่งเก็บ output ลงไฟล์ไว้ในช่วงทีมีปัญหา
หรือเรียกมันทุกๆ 20-30 นาทีทั้งวันเลยก็ได้ เวลามีปัญหาก็มาเปิด log file ดูย้อนหลังก็พอจะหาต้นตอของปัญหาได้ครับ
netstat -an
ps -auwx
apache status
เรียก 3 คำสั่งนี้เก็บลงไฟล์ครับ
apache status สามารถเรียกเก็บได้โดยใช้คำสั่ง curl ช่วยครับ
/usr/bin/curl http://127.0.0.1/server-status >> logfile
ส่วนถ้าพบ ip เดิมๆก่อปัญหาก็ ban ไว้ใน firewall เลยครับ
ICOM
12
ขอบคุณคุณ kke มากครับ
และทุกท่านครับ ที่ให้ความรู้
ถ้า server เป็น php
ก็ลอง upgrade php ดูครับ
http://www.lancs.ac.uk/~steveb/patches/php-mail-header-patch/
แล้วดูว่ามันส่งมาจาก script ไหน
เท่าที่คุยกับพี่ธี … เบื้องต้นคิดว่าไม่ได้โดนยิง จาก server อื่นนะครับ แต่น่าจะเกิดจาก บางเว็บไซต์ที่อยู่ใน server เดียวกันมากกว่า …อาจจะเป็นเว็บ ที่ใช้ส่งอีเมล์เยอะๆ โดย script ไปดึงข้อมูลอีเมล์ จาก ฐานข้อมูล เพื่อนำมาส่งอีเมล์ จึงเป็นสาเหตุทำให้ database ทำงานหนัก และ เครื่องก็ทำงานหนักตามไปด้วย ส่งผลให้ไม่สามารถประมวลผลได้ทัน ระบบต่างๆ จึงหยุดชงักลง
ยังไงพี่ธีคงต้องไล่เช็คดูทีละเว็บนะครับ เอาเฉพาะเว็บที่พี่ไม่ได้ดูแลเองก่อน และเน้นเฉพาะเว็บที่เพิ่งเข้ามาภายหลัง เพราะอาการดังกล่าวนี้เพิ่งจะเป็นได้ 3 วันที่ผ่านมานี้เอง ยังไงก็ขอเอาใจช่วยให้แก้ปัญหาได้โดยเร็วนะครับ
system
15
พี่ธี…ใส่เสื้อเกราะกันกระสุนหรือยังครับ ใส่ก่อนเข้าไปตรวจหาคนยิงนะครับ เดี๋ยวพลาดท่า…โจรที่แอบยิงได้ครับ
cat
16
พี่ธีบอกว่า รุ่นนี้ไม่ต้องใส่เกราะแล้ว เพราะว่าหนังเหนียว อยู่ยงคงกระพันชาตรี อิอิ
แซว
ICOM
17
โอ้ย รุ่นนี้ยิงไม่เข้าอ่ะครับ รับรอง
เพราะตายตั้งแต่เห็นเขาชักปืนแล้ว
system
18
แหมม…ขนาดน้อง cat ยังใส่หมวกเกราะกันตีตัวเย้ย… อิอิ
อ่านะ…รักหรอกจึงหลอกยิง :blink:
อิอิ
ICOM
19
fedora+plesk จะปิด SMTP ของแต่ละเวบยังไงครับ
แบบว่าบางเวบ เราจะไม่ให้ใช้ คำสั่งในการส่งเมล เลยประมาณนี้ครับ
icez
20
สร้างแฟ้มชื่อ /etc/httpd/conf.d/vhosts.conf ครับ
ข้อมูลประมาณนี้
<Directory “/var/www/vhosts/DOMAIN.com/”>