VPS sulėtėjimai, lūžimai

Problemos pastoviai su VPS, tik kas nors bruteforcina iškart labai sulėtėja arba išvis neužkrauna pvz.:

A brute force attack has been detected in one of your service logs.

User xxxxx has 222 failed login attempts: proftpd2=222

User webmaster has 222 failed login attempts: proftpd1=222

Check 'Admin Level -> Brute Force Monitor' for more information

Per šį bruteforcinimą, kelias valandas neveikė webai, ar tai normalu?

VPS:

3 GHz, 1.5 GB, 100 Mbps

Ne, tai iš tikro nėra normalu, serverio darbas gali MINIMALIAI sulėtėti jei bruteforsinama maždaug 10-20 slaptažodžių per sekundę, bet tikrai ne ant tiek, kad visiškai neveiktų.

 

Aišku gali būti, kad neveikia dėl to, kad visi pasaulio VPS pardavėjai yra OVERSELLINĘ paslaugas, tai gal jie ten tavo tuos 1,5GB duoda kaip su 64mb ram :)

 

Beje, spėju dedikuoti.lt ? Jie po RAM update apskritai tūrėtų dabar pradėti visiems niekas nebeveikti ir striginėti:)

Ne, čia su cloudlix.com man problemos nuo pat nusipirkimo (rugsėjo mėn). Tai su DA licenzija, tai šitie laginimai (pastovūs).

Čia vienas iš pokalbių su supportu pranešus, kad sunkiai krauna:

cloudlix- Laba diena,

galbūt galite detalizuoti, kaip pasireiškia tas strigimas? Nes iš Jūsų pateiktos informcijos sunku kažką komentuoti.

aš - Tuo momentu, kai sulėtėja, web puslapiai pilnai nebeužsikrauna, prisijungus prie DA, taip pat toks jausmas kaip, kad "pakimba" stilius neužsikrauna arba tik dalinai pvz. matėsi tik "Home" mygtukas, kurį paspaudus, prasideda labai ilgas krovimo procesas su 50/50 galimybė, kad jį atvers. Pažiūrėjau dabar logus tai tuo metu buvo brute forcinama ar gali būti, kad šitaip sulėtina serverį?

A brute force attack has been detected in one of your service logs.

User root has 16245 failed login attempts: dovecot1=545&exim2=6&sshd5=15694

cloudlix-ne, tokia ataka neturėjo turėti įtakos svetainių veikimui. Ar šiuo metu ta problema vis dar kartojasi?

tuo metu, nebrutino, tai problemos nebuvo, bet vartotojai skundės, kad kartais stringa, pagal logų laika panašiai atakas ir randu. Pakeičiau SSH prisijungimo porta, tai truputi apmažėjo atakų, bet dabar va pavyzdžiui kur pirmam poste minėjau tai tokios išvis, nugesina serverį, tai klausiu aš vėl vakar:

aš - O kaip paaiškinti tokį reiškinį, kad serveris nebuvo pasiekiamas, o directadmine radau tokią žinutę:

This is an automated message notifying you that the 5 minute load average on your system is 12.34.

This has exceeded the 10 threshold.

One Minute - 21.71

Five Minutes - 12.34

Fifteen Minutes - 5.19

top - 10:06:08 up 22 days, 4:06, 0 users, load average: 21.71, 12.34, 5.19

Tasks: 178 total, 23 running, 155 sleeping, 0 stopped, 0 zombie

Cpu(s): 5.1%us, 0.4%sy, 0.0%ni, 87.8%id, 6.7%wa, 0.0%hi, 0.0%si, 0.1%st

Mem: 1572864k total, 1006188k used, 566676k free, 0k buffers

Swap: 32768k total, 16736k used, 16032k free, 128676k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

21635 apache 20 0 352m 7416 2080 R 2335.5 0.5 0:14.01 /usr/sbin/httpd -k start -DSSL

(sutrumpinta iki 1 eilutės)

...

cloudlix.com - Laba diena,

įvairios bėdos būna visiems. Svarbu žinoti kaip interpretuoti, ką Jums sako sistema. Iš Jūsų pateiktų duomenų galima matyti, kad serverio apkrovimas pasiekė nemažą reikšmę - 22. Tai reiškia, kad 21 procesas laukė savo vykdymo eilės, todėl ir buvo sulėtėjęs darbas. Toliau pateikėte top išvestį, kurioje matyti, kokia konkrečiai tarnyba sukėlė tą apkrovą. Ir tai yra Web serveris, matomai kartu su PHP - daug vykdomų httpd procesų. Klientams tuo metu, greičiausiai rodoma, kad svetainę bandoma užkrauti, ir jei neužkrauna, jie gauna klaidą.

Kodėl taip atsitiko? Gali būti, kad koks nors kenkėjas ar keli, tuo metu nusiuntė į Jūsų svetaines masines užklausas, serveris jas bandė apdoroti ir tokiu būdu lėtėjo jo darbas. Ką galima būtų daryti tai peržiūrėti tos valandos serverio išrašus ir pasižiūrėti iš kokių IP adresų buvo užklausos. Ir tokius IP blokuoti.

-----

Esmė, kad ten blokuoja tuos IP, bet kaip suprantu tik po bruteforcinimo, gal eina padaryti kad iškarto, tarkime po 3 bandymų blokuotų bet ką?

Va tau ir cloudlix:)

DirectAdmin`as kovoja su bruteforce naudodamas fail2ban.

Peržiūrėk jo nustatymus ar realiai jis atlieka savo darbą kaip turėtų ir ar jo nustatymai atitinka tavo lūkesčius.

Viską rasi: /etc/fail2ban/

 

One Minute - 21.71

Five Minutes - 12.34

Fifteen Minutes - 5.19

 

top - 10:06:08 up 22 days, 4:06, 0 users, load average: 21.71, 12.34, 5.19

Tasks: 178 total, 23 running, 155 sleeping, 0 stopped, 0 zombie

Cpu(s): 5.1%us, 0.4%sy, 0.0%ni, 87.8%id, 6.7%wa, 0.0%hi, 0.0%si, 0.1%st

Mem: 1572864k total, 1006188k used, 566676k free, 0k buffers

Swap: 32768k total, 16736k used, 16032k free, 128676k cached

 

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

21635 apache 20 0 352m 7416 2080 R 2335.5 0.5 0:14.01 /usr/sbin/httpd -k start -DSSL

 

Pasižiūrėk apkrovų metu kas naudoja tiek daug resursų, spėju mysql neuždaro kokių procesų ir laiko sleep'ą.

Gali būti kokios nors kitokios užklausos

Va tau ir cloudlix:)

Geriau nekišk savo nosies, pastebėjau jau senai, kad nieko nenusimanai, ir čia ne pačio cloudlix bėda, o svetainės programavime arba serverio konfigūravime gali būti.

Problemos pastoviai su VPS, tik kas nors bruteforcina iškart labai sulėtėja arba išvis neužkrauna pvz.:

 

A brute force attack has been detected in one of your service logs.

User xxxxx has 222 failed login attempts: proftpd2=222

User webmaster has 222 failed login attempts: proftpd1=222

Check 'Admin Level -> Brute Force Monitor' for more information

 

Per šį bruteforcinimą, kelias valandas neveikė webai, ar tai normalu?

 

VPS:

3 GHz, 1.5 GB, 100 Mbps

 

 

Uz tam tikra moketis galiu sutvarkyti sias problemas.

Va tau ir cloudlix:)

lauksim naujienu apie tavo ar su tavim susijusius tiekejus... gal sakau koki komentara reiketu parasyti? Siaip ne i tema kanors.

Nors is tikro geriau jau nesileisti iki tavo lygio...

Va tau ir cloudlix:)

Ką tamsta turite omenyje? Ar galbūt iš pateiktos kliento informacijos sugebėtumėte pateikti platesnį komentarą, nei buvo pateiktas mūsų? Drįsčiau tuo suabejoti.

Kas dėl pačios situacijos, tai sprendimo būdas taip pat buvo pasiūlytas. top komandos išvestyje puikiai matėsi apkrovos priežastis, tad kalbėti apie MySQL ar kitas tarnybas net neverta. Tad siūlau dar kartą perskaityti mūsų pateiktą komentarą, problemos sprendimui visi atsakymai suteikti.

P.S. Valdymo pulto, tuo tarpu, pateikiami pranešimai apie atakas, su apkrovimu neturi nieko bendra(ir blokuojami yra visiškai kiti IP, nei kad sukelia apkrovas). Į juos iš esmės galima nekreipti dėmesio, nebent Jūsų slaptažodis admin123.

Ką tamsta turite omenyje? Ar galbūt iš pateiktos kliento informacijos sugebėtumėte pateikti platesnį komentarą, nei buvo pateiktas mūsų? Drįsčiau tuo suabejoti.

 

Kas dėl pačios situacijos, tai sprendimo būdas taip pat buvo pasiūlytas. top komandos išvestyje puikiai matėsi apkrovos priežastis, tad kalbėti apie MySQL ar kitas tarnybas net neverta. Tad siūlau dar kartą perskaityti mūsų pateiktą komentarą, problemos sprendimui visi atsakymai suteikti.

 

P.S. Valdymo pulto, tuo tarpu, pateikiami pranešimai apie atakas, su apkrovimu neturi nieko bendra(ir blokuojami yra visiškai kiti IP, nei kad sukelia apkrovas). Į juos iš esmės galima nekreipti dėmesio, nebent Jūsų slaptažodis admin123.

Skaičiau tą atsakymą... Ir ne vieną kartą. Ir nesuprantu. Todėl ir parašiau čia. Jūs sakot, kad tokios atakos neturėtų sulėtinti serverio darbo, bet aš pateikiau faktus.

Dabar kaip supratau reik blokuoti tuos IP, bet tai juos irgi automatiškai blokuoja (galiu pateikti ban listą). Tai tas problemos sprendimas truputį menkavertis man atrodo, nes tarkime rytoj atsiras dar koks veikėjas, kuris norės pabandyti brutaforcinti (kad jų atsiras čia irgi faktas) ir vėl man serveris neveiks per tą atakos laiką.

Ar čia tiesiog visiems taip yra ir aš tik be reikalo keliu bangas?

P.S.

Dėl slaptažodžio nei kiek nesijaudinu jis tikrai yra didžiųju,mažųjų raidžių mišinys su skaičiais, plius simboliais ir ilgesnis už 10 simbolių.

Skaičiau tą atsakymą... Ir ne vieną kartą. Ir nesuprantu. Todėl ir parašiau čia. Jūs sakot, kad tokios atakos neturėtų sulėtinti serverio darbo, bet aš pateikiau faktus.

 

Dabar kaip supratau reik blokuoti tuos IP, bet tai juos irgi automatiškai blokuoja (galiu pateikti ban listą). Tai tas problemos sprendimas truputį menkavertis man atrodo, nes tarkime rytoj atsiras dar koks veikėjas, kuris norės pabandyti brutaforcinti (kad jų atsiras čia irgi faktas) ir vėl man serveris neveiks per tą atakos laiką.

 

Ar čia tiesiog visiems taip yra ir aš tik be reikalo keliu bangas?

 

 

P.S.

 

Dėl slaptažodžio nei kiek nesijaudinu jis tikrai yra didžiųju,mažųjų raidžių mišinys su skaičiais, plius simboliais ir ilgesnis už 10 simbolių.

Pacituosiu iškarpas iš atsakymų:

Kodėl taip atsitiko? Gali būti, kad koks nors kenkėjas ar keli, tuo metu nusiuntė į Jūsų svetaines masines užklausas, serveris jas bandė apdoroti ir tokiu būdu lėtėjo jo darbas. Ką galima būtų daryti tai peržiūrėti tos valandos serverio išrašus ir pasižiūrėti iš kokių IP adresų buvo užklausos. Ir tokius IP blokuoti.

P.S. Valdymo pulto, tuo tarpu, pateikiami pranešimai apie atakas, su apkrovimu neturi nieko bendra(ir blokuojami yra visiškai kiti IP, nei kad sukelia apkrovas).

Pasikartosiu. Blokuoti reikia ne tuos IP, kuriuos rodo valdymo pultas - ne jie sukelia apkrovas, o tuos IP, iš kurių į Jūsų svetaines yra siunčiamos užklausos tomis valandomis ar minutėmis, kuomet sukyla apkrovimas.

Taip pat atsakant į Jūsų paskutinį klausimą, taip, taip būna visiems. Jei serverio scenarijai yra reiklūs procesoriui ir į juos siunčiamos masines užklausos, jos gali sutrikdyti viso serverio darbą, sulėtinant jo veikimą.

Atrasta problema ir didžiausia ačiū sakau nariui AndriusKaz, nes tik jis sugebėjo duoti realius gerus patarimus, vien iš čia, kas šioje temoje parašyta. Nesakau, kad ArturasLIX atsakymas blogas, jis geras, bet ne naujokui tokiam kaip aš, nes pagal pateiktą atsakymą aš nesugebu išsigooglinti problemos sprendimo, o jei suprasčiau atsakymo prasmė, tai tokio klausimo man net nebūtų kile.

Atrasta problema ir didžiausia ačiū sakau nariui AndriusKaz, nes tik jis sugebėjo duoti realius gerus patarimus, vien iš čia, kas šioje temoje parašyta. Nesakau, kad ArturasLIX atsakymas blogas, jis geras, bet ne naujokui tokiam kaip aš, nes pagal pateiktą atsakymą aš nesugebu išsigooglinti problemos sprendimo, o jei suprasčiau atsakymo prasmė, tai tokio klausimo man net nebūtų kile.

Čia ir neišgooglinsi, jei sunku buvo log'o failūs pasižiūrėti tai gal geriau apskritai pasisamdyti išmanantį žmogų? Viską jis teisingai buvo pasakės, ką reikėjo padaryti - pažiūrėti log'us :)

aš ir nesakau, kad neteisingai ir logus žiūrėjau, ir gal tikrai geriau pasisamdyti išmanantį žmogų kuris būtų sutvarkęs už 100lt, bet kaip tikras lietuvis noriu pats išmokti ir sutaupyti. Esmė, kad supporto atsakymas, kad ir teisingas gali būti, bet nesuprantamas kas tuom neužsiima, o kas užsiima tai tokio klausimo net nebūtų kilę.