mrquyen296
21-08-2009, 18:07
Hnay server em bị tấn công rất lạ, cách thức em chưa có gặp bao giờ.
Khoảng 13h30 chiều nay em nhận thấy server có vấn đề.
Login SSH và WHM kiểm tra thấy CPU load ầm ầm.
Em cũng nhanh chóng phát hiện ra site nào bị ddos và tiến hành các bước sau:
1. Khóa website đó lại
2. Block IP tấn công. Các IP chủ yếu đến từ HongKong, ThaiLan và Singapore.
Sau khi khóa lại, server có vẻ đã yên ổn, các website khác chạy bình thường. Em tiến hành mở website bị ddos ra.
Nhưng kỳ lạ thay là khi em vào Apache Status, vẫn có request đến website vừa mới đựoc mở, và cũng với những IP như trước khi bị block.
Firewall mình lỗi sao?? Em thử nghiệm bằng cách ban 1 IP ở chỗ khác và tiến hành truy cập server từ IP đó thì thấy ko vào đc --> Firewall không lỗi.
Kỳ lạ quá em lại khóa website bị ddos lại. Restart Apache lẫn cpanel lẫn CSF. Bực quá restart cả server --> Kết quả vẫn thấy thế, trong Apache Status vẫn tiếp tục có request dạng như cũ, không đổi. Dùng netstat kiểm tra thấy vẫn có IP đã bị lock truy cập vào. Ôi mèn ơi, em thực sự hoang mang.
Tiếp theo, để kiểm chứng, em loại bỏ các dòng cấu hình của website đó trong httpd.conf, restart Apache.
Điều kỳ lạ tiếp tục xảy ra, các request ở trên chuyển sang một domain khác, cũng với cùng đích đến là /forum/index.php, cùng giao thức GET và cùng các IP như với website ban đầu.
Em thực sự hoang mang, kiểm tra lại thấy domain thứ 2 này đã không chạy bên em nữa, em tiến hành Terminate cái domain thứ 2 này đi.
Kết quả là em thực sự hoang mang khi request tự động dồn xuống site tiếp theo, theo đúng thứ tự Alphabet.
Mặc dù server load rất nhẹ và các website hoạt động bình thường, nhưng em cho đây là hiện tượng bất thường.
Bởi lẽ, kẻ tấn công tự động chuyển mục tiêu tấn công theo đúng thứ tự các domain trong mục List Account.
Em đã tiến hành change pass root và kiểm tra rootkit nhưng không thấy gì.
Liệu bác nào bị tình trạng như em không???
Em thực sự hoang mang vì sự cố này. Phải chăng cpanel có lỗi????
http://img196.imageshack.us/img196/2782/cpanelwhat.png
Khoảng 13h30 chiều nay em nhận thấy server có vấn đề.
Login SSH và WHM kiểm tra thấy CPU load ầm ầm.
Em cũng nhanh chóng phát hiện ra site nào bị ddos và tiến hành các bước sau:
1. Khóa website đó lại
2. Block IP tấn công. Các IP chủ yếu đến từ HongKong, ThaiLan và Singapore.
Sau khi khóa lại, server có vẻ đã yên ổn, các website khác chạy bình thường. Em tiến hành mở website bị ddos ra.
Nhưng kỳ lạ thay là khi em vào Apache Status, vẫn có request đến website vừa mới đựoc mở, và cũng với những IP như trước khi bị block.
Firewall mình lỗi sao?? Em thử nghiệm bằng cách ban 1 IP ở chỗ khác và tiến hành truy cập server từ IP đó thì thấy ko vào đc --> Firewall không lỗi.
Kỳ lạ quá em lại khóa website bị ddos lại. Restart Apache lẫn cpanel lẫn CSF. Bực quá restart cả server --> Kết quả vẫn thấy thế, trong Apache Status vẫn tiếp tục có request dạng như cũ, không đổi. Dùng netstat kiểm tra thấy vẫn có IP đã bị lock truy cập vào. Ôi mèn ơi, em thực sự hoang mang.
Tiếp theo, để kiểm chứng, em loại bỏ các dòng cấu hình của website đó trong httpd.conf, restart Apache.
Điều kỳ lạ tiếp tục xảy ra, các request ở trên chuyển sang một domain khác, cũng với cùng đích đến là /forum/index.php, cùng giao thức GET và cùng các IP như với website ban đầu.
Em thực sự hoang mang, kiểm tra lại thấy domain thứ 2 này đã không chạy bên em nữa, em tiến hành Terminate cái domain thứ 2 này đi.
Kết quả là em thực sự hoang mang khi request tự động dồn xuống site tiếp theo, theo đúng thứ tự Alphabet.
Mặc dù server load rất nhẹ và các website hoạt động bình thường, nhưng em cho đây là hiện tượng bất thường.
Bởi lẽ, kẻ tấn công tự động chuyển mục tiêu tấn công theo đúng thứ tự các domain trong mục List Account.
Em đã tiến hành change pass root và kiểm tra rootkit nhưng không thấy gì.
Liệu bác nào bị tình trạng như em không???
Em thực sự hoang mang vì sự cố này. Phải chăng cpanel có lỗi????
http://img196.imageshack.us/img196/2782/cpanelwhat.png