ไม่รู้ว่าจะถามยังไงดีเหมือนกัน เอาแบบนี้แหละครับ
รู้ได้ยังไงว่าเครื่องเราโดนยิง
อย่างเครื่องผมปรกติเคยมี New TCP Connections (ดูจาก MRTG) ประมาณ 3-400
ช่วงนี้เพิ่มขึ้นแบบแปลกๆ 1500 - 2000 เลย
คุณ kke แนะนำให้ดู Apache Server Status
ก็ไม่เห็นมี ไฟล์อะไรแปลก ip ก็กระจาย ไม่ซ่ำๆกัน
top ดู cpu ก็แค่ load average: 0.02, 0.06, 0.01
ตอนนี้ stop service SMTP ไว้ก่อน กลัวส่ง spam ออก
มีที่ไหนที่ผมควรดูอีกครับ โปรดชี้แนะ
Port ไหนคิดว่าโดนละครับ ลองใช้ tcptrack
[quote author=hack3rb43 link=topic=7549.msg70919#msg70919 date=1187181778]
Port ไหนคิดว่าโดนละครับ ลองใช้ tcptrack
ลอง netstat -an ดูก่อนครับผม พี่ธี ว่ามี connection เยอะแปลกๆ ไหม เช่น นานเกินไป จำนวนมาก เกินไป
บางที การที่ มี connection ขึ้นมาเยอะๆ ก็ไม่ได้เป็นการโดนยิงครับ อาจมีเว็บไซต์ของสมาชิก ไปทำ seo อะไรหรือไปโพสปล่อย file บางอันไหม
หรือเว็บของสมาชิกเพิ่งดังไรประมาณนี้ครับ
ผมเคยเจอเว็บสมาชิกท่านนึง
เพิ่งเปิดเว็บได้ สาม วันวันที่สี่ คนเข้าหลายพันคน ทั้งๆ ที่โดเมนจดใหม่ หุหุ
ลอง top ดูครับว่ามี process อะไรค้างแปลกๆ ไหม
ลอง ดู Apache Status อย่างที่พี่ kke บอกครับ
เสริมครับ ถ้า Debian Ubuntu ก็ apt-get install tcptrack
netstat -an (ผลบางส่วน)
tcp
มันเป็น port ที่ถูกเปิดขึ้นมาเพื่อติดต่อไปยัง server ปลายทางครับ จะเห็นว่ามันติดต่อไปที่ port 25 คือทำการส่งเมล์ไปยังปลายทาง
ผมว่าไม่มีไรหรอกมั้งครับ
[quote author=hack3rb43 link=topic=7549.msg70930#msg70930 date=1187191746]
ผมว่าไม่มีไรหรอกมั้งครับ
FIN_WAIT1, SYN_SENT, ESTABLISHED ,TIME_WAIT
พวกนี้คือสถานะการทำงานน่ะครับ เชื่อมต่อได้ รอ และอื่นๆ
ประมาณนั่นน่ะครับ
กราฟ tcp connection ที่เห็นพุ่งขึ้นมาน่าจะโดน spam http connection ผ่าน form mail เวบใดเวบหนึ่งที่มีช่องโหว่ให้ส่งไปหาคนอื่นได้
หลังจากผ่านไปสักพักหากตรวจสอบ mail queue ก็จะพบว่ามีเมล์ค้างจำนวนหนึ่ง เนื่องจากระบบส่งออกไม่ทัน
วิธีป้องกัน คืออุดช่องโหว่ของ script form mail ที่มีปัญหา
หรือในเบื้องต้นอาจนำ captcha มาช่วยป้องกันการ spam ด้วย robot ครับ
ปล. netstat กับ server status จะเป็นค่าตอนที่เรียกคำสั่งครับ ซึ่งถ้าเครื่องค้างแล้ว boot ใหม่ มาเรียกคำสั่งพวกนี้ก็จะไม่ค่อยมีประโยชน์ครับ
ปกติเครื่องที่มีปัญหามันจะมีปัญหาลักษณะเดิมๆซ้ำๆทุกวันเวลาเดิมครับ ผมก็จะตั้ง cron ให้เรียกคำสั่งเก็บ output ลงไฟล์ไว้ในช่วงทีมีปัญหา
หรือเรียกมันทุกๆ 20-30 นาทีทั้งวันเลยก็ได้ เวลามีปัญหาก็มาเปิด log file ดูย้อนหลังก็พอจะหาต้นตอของปัญหาได้ครับ
netstat -an
ps -auwx
apache status
เรียก 3 คำสั่งนี้เก็บลงไฟล์ครับ
apache status สามารถเรียกเก็บได้โดยใช้คำสั่ง curl ช่วยครับ
/usr/bin/curl http://127.0.0.1/server-status >> logfile
ส่วนถ้าพบ ip เดิมๆก่อปัญหาก็ ban ไว้ใน firewall เลยครับ
ขอบคุณคุณ kke มากครับ
และทุกท่านครับ ที่ให้ความรู้
ถ้า server เป็น php
ก็ลอง upgrade php ดูครับ
http://www.lancs.ac.uk/~steveb/patches/php-mail-header-patch/
แล้วดูว่ามันส่งมาจาก script ไหน
เท่าที่คุยกับพี่ธี … เบื้องต้นคิดว่าไม่ได้โดนยิง จาก server อื่นนะครับ แต่น่าจะเกิดจาก บางเว็บไซต์ที่อยู่ใน server เดียวกันมากกว่า …อาจจะเป็นเว็บ ที่ใช้ส่งอีเมล์เยอะๆ โดย script ไปดึงข้อมูลอีเมล์ จาก ฐานข้อมูล เพื่อนำมาส่งอีเมล์ จึงเป็นสาเหตุทำให้ database ทำงานหนัก และ เครื่องก็ทำงานหนักตามไปด้วย ส่งผลให้ไม่สามารถประมวลผลได้ทัน ระบบต่างๆ จึงหยุดชงักลง
ยังไงพี่ธีคงต้องไล่เช็คดูทีละเว็บนะครับ เอาเฉพาะเว็บที่พี่ไม่ได้ดูแลเองก่อน และเน้นเฉพาะเว็บที่เพิ่งเข้ามาภายหลัง เพราะอาการดังกล่าวนี้เพิ่งจะเป็นได้ 3 วันที่ผ่านมานี้เอง ยังไงก็ขอเอาใจช่วยให้แก้ปัญหาได้โดยเร็วนะครับ
พี่ธี…ใส่เสื้อเกราะกันกระสุนหรือยังครับ ใส่ก่อนเข้าไปตรวจหาคนยิงนะครับ เดี๋ยวพลาดท่า…โจรที่แอบยิงได้ครับ
พี่ธีบอกว่า รุ่นนี้ไม่ต้องใส่เกราะแล้ว เพราะว่าหนังเหนียว อยู่ยงคงกระพันชาตรี อิอิ
แซว
โอ้ย รุ่นนี้ยิงไม่เข้าอ่ะครับ รับรอง
เพราะตายตั้งแต่เห็นเขาชักปืนแล้ว
แหมม…ขนาดน้อง cat ยังใส่หมวกเกราะกันตีตัวเย้ย… อิอิ
อ่านะ…รักหรอกจึงหลอกยิง :blink:
อิอิ
fedora+plesk จะปิด SMTP ของแต่ละเวบยังไงครับ
แบบว่าบางเวบ เราจะไม่ให้ใช้ คำสั่งในการส่งเมล เลยประมาณนี้ครับ
สร้างแฟ้มชื่อ /etc/httpd/conf.d/vhosts.conf ครับ
ข้อมูลประมาณนี้
<Directory “/var/www/vhosts/DOMAIN.com/”>