forum.opennet.ru - "Сервер перезагружается сам по себе." (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Сервер перезагружается сам по себе."

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Сервер перезагружается сам по себе."
Сообщение от RockerMan (ok) on 27-Янв-07, 18:41
Доброго времени суток! Сервер на freebsd 6.2RC1 перезагружается сам по себе. Перечитал темы по этому вопросу, отключил сервер - перебрал все комплектующие, почистил разъемы, почистил от пыли, собрал, запустил - не помогло. Прогнал GoldMemory по оперативке, все нормально, заменил нарддиск, блок питания, кулер - трабла осталась. Поменять материнскую и проц пока нет возможности, но в этом направлении тоже работаю. Вопрос вот в чем - а может быть такая ситуация из-за того что ДДОСят? Т.к. сервак уходит в перезагрузку в момент пиковой нагрузки, и всегда по вечерам, когда меня нет на работе. Иногда при этом портится один из слайсов, чаще всего /var, и он не может сам загрузиться, только после ручного запуска fsck на /var. Пару раз оставлял tcpdump в режиме логирования в файл и два раза весь сетевой трафик до момента перезагрузки записал. Может есть какие-то общие признаки ДДОС? И по анализу лога tcpdump можно выяснить это?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Сервер перезагружается сам по себе., solaris, 23:39 , 29-Янв-07, (1)

Сервер перезагружается сам по себе., RockerMan, 16:05 , 05-Фев-07, (3)

Сервер перезагружается сам по себе., s2, 16:32 , 31-Янв-07, (2)

Сервер перезагружается сам по себе., RockerMan, 16:07 , 05-Фев-07, (4)

Сервер перезагружается сам по себе., RockerMan, 10:44 , 07-Фев-07, (5)

Сообщения по теме [Сортировка по времени, UBB]

1. "Сервер перезагружается сам по себе."

Сообщение от solaris (??) on 29-Янв-07, 23:39

>Доброго времени суток!
>Сервер на freebsd 6.2RC1 перезагружается сам по себе. Перечитал темы по этому
>вопросу, отключил сервер - перебрал все комплектующие, почистил разъемы, почистил от
>пыли, собрал, запустил - не помогло. Прогнал GoldMemory по оперативке, все
>нормально, заменил нарддиск, блок питания, кулер - трабла осталась. Поменять материнскую
>и проц пока нет возможности, но в этом направлении тоже работаю.
>Вопрос вот в чем - а может быть такая ситуация из-за
>того что ДДОСят? Т.к. сервак уходит в перезагрузку в момент пиковой
>нагрузки, и всегда по вечерам, когда меня нет на работе. Иногда
>при этом портится один из слайсов, чаще всего /var, и он
>не может сам загрузиться, только после ручного запуска fsck на /var.
>Пару раз оставлял tcpdump в режиме логирования в файл и два
>раза весь сетевой трафик до момента перезагрузки записал. Может есть какие-то
>общие признаки ДДОС? И по анализу лога tcpdump можно выяснить это?
>
Канал на мониторинг! После этого задавайте более конкретные вопросы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Сервер перезагружается сам по себе."

Сообщение от RockerMan (ok) on 05-Фев-07, 16:05

>>Доброго времени суток!
>>Сервер на freebsd 6.2RC1 перезагружается сам по себе. Перечитал темы по этому
>>вопросу, отключил сервер - перебрал все комплектующие, почистил разъемы, почистил от
>>пыли, собрал, запустил - не помогло. Прогнал GoldMemory по оперативке, все
>>нормально, заменил нарддиск, блок питания, кулер - трабла осталась.
...
>>Пару раз оставлял tcpdump в режиме логирования в файл и два
>>раза весь сетевой трафик до момента перезагрузки записал. Может есть какие-то
>>общие признаки ДДОС? И по анализу лога tcpdump можно выяснить это?
>>
>Канал на мониторинг! После этого задавайте более конкретные вопросы.
А включенный на логирование трафика на интерфейсе tcpdump разве не подходит?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Сервер перезагружается сам по себе."

Сообщение от s2 (ok) on 31-Янв-07, 16:32

смотри в файле наличие таких последовательных запросов
pendos.us.50703 > your.host.com.http: S 3459735524:3459735524(0)
pendos.us.50705 > your.host.com.http: S 3459735524:3459735524(0)
pendos.us.50707 > your.host.com.http: S 3459735524:3459735524(0)
pendos.us.50709 > your.host.com.http: S 3459735524:3459735524(0)
pendos.us.50711 > your.host.com.http: S 3459735524:3459735524(0)
это и есть дос.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Сервер перезагружается сам по себе."

Сообщение от RockerMan (ok) on 05-Фев-07, 16:07

>смотри в файле наличие таких последовательных запросов
>pendos.us.50703 > your.host.com.http: S 3459735524:3459735524(0)
>pendos.us.50705 > your.host.com.http: S 3459735524:3459735524(0)
>pendos.us.50707 > your.host.com.http: S 3459735524:3459735524(0)
>pendos.us.50709 > your.host.com.http: S 3459735524:3459735524(0)
>pendos.us.50711 > your.host.com.http: S 3459735524:3459735524(0)
>это и есть дос.
Ок. Счас логи буду просматривать ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Сервер перезагружается сам по себе."

Сообщение от RockerMan (ok) on 07-Фев-07, 10:44

просмотрел логи за несколько дней, таких явных "столбцов" SYN пакетов с одного IP с чередованием портов источника не нашел. Зато есть "столбцы (по 11 строк) ASK пакетов с одного источника, например такого вида:
---
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 2921 win 65535
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 4381 win 65535
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 7301 win 65535
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 8761 win 65535
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 11681 win 62615
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 14601 win 59695
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 17521 win 56775
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 20441 win 53855
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 23361 win 50935
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 24333 win 49964
IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 24333 win 65535
---
В файрвол я забил строку лимита:
ipfw add pass tcp from any to me dst-port 80,8888 setup limit src-addr 9
но, видимо, это правило не срабатывает, или неполно срабатывает, т.к. таких столбцов довольно много и с разных IP. Причем через короткое время опять идет столбец с того же IP, ощущение что limit закрывает IP после 11 соединений, а потом снова открывается доступ с этого IP. Как-нибудь можно от такого (похоже сканирования) закрыться?
PS. Реальные IP заменил на "хх"
PS2. Может быть стоит убрать setup из правила или поставить два лимита? Один с setup второй без на эти порты?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Сервер перезагружается сам по себе."
Сообщение от solaris (??) on 29-Янв-07, 23:39
>Доброго времени суток! >Сервер на freebsd 6.2RC1 перезагружается сам по себе. Перечитал темы по этому >вопросу, отключил сервер - перебрал все комплектующие, почистил разъемы, почистил от >пыли, собрал, запустил - не помогло. Прогнал GoldMemory по оперативке, все >нормально, заменил нарддиск, блок питания, кулер - трабла осталась. Поменять материнскую >и проц пока нет возможности, но в этом направлении тоже работаю. >Вопрос вот в чем - а может быть такая ситуация из-за >того что ДДОСят? Т.к. сервак уходит в перезагрузку в момент пиковой >нагрузки, и всегда по вечерам, когда меня нет на работе. Иногда >при этом портится один из слайсов, чаще всего /var, и он >не может сам загрузиться, только после ручного запуска fsck на /var. >Пару раз оставлял tcpdump в режиме логирования в файл и два >раза весь сетевой трафик до момента перезагрузки записал. Может есть какие-то >общие признаки ДДОС? И по анализу лога tcpdump можно выяснить это? > Канал на мониторинг! После этого задавайте более конкретные вопросы.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Сервер перезагружается сам по себе."
	Сообщение от RockerMan (ok) on 05-Фев-07, 16:05
	>>Доброго времени суток! >>Сервер на freebsd 6.2RC1 перезагружается сам по себе. Перечитал темы по этому >>вопросу, отключил сервер - перебрал все комплектующие, почистил разъемы, почистил от >>пыли, собрал, запустил - не помогло. Прогнал GoldMemory по оперативке, все >>нормально, заменил нарддиск, блок питания, кулер - трабла осталась. ... >>Пару раз оставлял tcpdump в режиме логирования в файл и два >>раза весь сетевой трафик до момента перезагрузки записал. Может есть какие-то >>общие признаки ДДОС? И по анализу лога tcpdump можно выяснить это? >> >Канал на мониторинг! После этого задавайте более конкретные вопросы. А включенный на логирование трафика на интерфейсе tcpdump разве не подходит?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Сервер перезагружается сам по себе."
Сообщение от s2 (ok) on 31-Янв-07, 16:32
смотри в файле наличие таких последовательных запросов pendos.us.50703 > your.host.com.http: S 3459735524:3459735524(0) pendos.us.50705 > your.host.com.http: S 3459735524:3459735524(0) pendos.us.50707 > your.host.com.http: S 3459735524:3459735524(0) pendos.us.50709 > your.host.com.http: S 3459735524:3459735524(0) pendos.us.50711 > your.host.com.http: S 3459735524:3459735524(0) это и есть дос.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Сервер перезагружается сам по себе."
	Сообщение от RockerMan (ok) on 05-Фев-07, 16:07
	>смотри в файле наличие таких последовательных запросов >pendos.us.50703 > your.host.com.http: S 3459735524:3459735524(0) >pendos.us.50705 > your.host.com.http: S 3459735524:3459735524(0) >pendos.us.50707 > your.host.com.http: S 3459735524:3459735524(0) >pendos.us.50709 > your.host.com.http: S 3459735524:3459735524(0) >pendos.us.50711 > your.host.com.http: S 3459735524:3459735524(0) >это и есть дос. Ок. Счас логи буду просматривать ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Сервер перезагружается сам по себе."
	Сообщение от RockerMan (ok) on 07-Фев-07, 10:44
	просмотрел логи за несколько дней, таких явных "столбцов" SYN пакетов с одного IP с чередованием портов источника не нашел. Зато есть "столбцы (по 11 строк) ASK пакетов с одного источника, например такого вида: --- IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 2921 win 65535 IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 4381 win 65535 IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 7301 win 65535 IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 8761 win 65535 IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 11681 win 62615 IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 14601 win 59695 IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 17521 win 56775 IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 20441 win 53855 IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 23361 win 50935 IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 24333 win 49964 IP 194.158.xx3.xx7.3425 > 82.209.2xx.xx3.80: . ack 24333 win 65535 --- В файрвол я забил строку лимита: ipfw add pass tcp from any to me dst-port 80,8888 setup limit src-addr 9 но, видимо, это правило не срабатывает, или неполно срабатывает, т.к. таких столбцов довольно много и с разных IP. Причем через короткое время опять идет столбец с того же IP, ощущение что limit закрывает IP после 11 соединений, а потом снова открывается доступ с этого IP. Как-нибудь можно от такого (похоже сканирования) закрыться? PS. Реальные IP заменил на "хх" PS2. Может быть стоит убрать setup из правила или поставить два лимита? Один с setup второй без на эти порты?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]