Em Domingo 06 Maio 2007 22:07, Marcos Lazarini escreveu: > Em 06/05/07, Davi<davividal@siscompar.com.br> escreveu: > > Boa noite a todos. > > Estou sendo vítima, desde as 10:30 de hoje, de um DoS. > > > > O que eu devo fazer nessa situação? > > Os ataques estão vindo via apache... > > > > #top > > top - 18:35:06 up 3:03, 5 users, load average: 79.14, 62.70, 36.19 > > Tasks: 247 total, 67 running, 180 sleeping, 0 stopped, 0 zombie > > Cpu(s): 0.6% us, 99.1% sy, 0.0% ni, 0.0% id, 0.0% wa, 0.0% hi, 0.3% > > si Mem: 1017404k total, 1008204k used, 9200k free, 368k > > buffers Swap: 987956k total, 987956k used, 0k free, 4568k > > cached > > > > Como marinheiro de primeira viagem, aceito qualquer sugestão... =] > > Amigo, realmente é dificil lidar com isso.... não há uma regra pronta, > mas o que o cara quer é q vc pare o serviço atingido - que vc não > disse qual é. Na emergência vc pode derrubar o serviço, mas se puder > contornar é melhor - ex: se o foco do ataque é o PHP, gere as páginas > estáticas; se for o mysql, reduza a base de dados; e assim por diante. > A idéia é que o serviço continue operando, mesmo que em nível reduzido > de funções... > > Boa sorte e depois manda umas dicas aqui p/ lista da experiência (que > ninguem quer passar) :-) Eu não faço a menor idéia de onde estavam indo os ataques... =\ Eu sei que estavam indo no Apache... Mais nada... =\ No final das contas, apenas parei o Apache e esperei as coisas voltarem ao normal... /var/log/apache2/access_log não tem _nada_ de útil... Durante o ataque tentei, sem muito êxito, usar o lsof... Mas meus conhecimentos de lsof + ps + awk são limitados demais para emergências como essa... A solução era óbvia e fácil: verificar onde as requisições estavam batendo e suspender o domínio alvo. Mas tudo isso via terminal, uma vez que o painel de controle (Plesk) estava inacessível. Agradeço a atenção! =] []s -- Davi Vidal davividal@siscompar.com.br davividal@gmail.com -- "Religion, ideology, resources, land, spite, love or "just because"... No matter how pathetic the reason, it's enough to start a war. "
Attachment:
pgp5fCHWri1X2.pgp
Description: PGP signature