[ask] Mitigasi abusif


Status
Not open for further replies.
xphones

xphones

Expert 1.0
Selamat Tahun Baru dulu untuk semuanya.


Begini.
Server A. beberapa minggu ini load CPU selalu berada di angka 1,60 s/d 10,xx bahkan terkadang sampai diatas 25,xx

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

netstat -ntu | grep SYN_RECV | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

ps -eo pcpu,user,pid,cmd | sort -r | head -5

ps aux | awk 'NR != 1 {x[$1] += $3} END{ for(z in x) {print z, x[z]"%"}}'

ps -eo user,pcpu,pmem | tail -n +2 | awk '{num[$1]++; cpu[$1] += $2; mem[$1] += $3} END{printf("NPROC\tUSER\tCPU\tMEM\n"); for (user in cpu) printf("%d\t%s\t%.2f\t%.2f\n",num[user], user, cpu[user], mem[user]) }' | sort
Click to expand...

Biasanya akan ketahuan ada IP nakal atau klien yang abusif. Tapi dari semua perintah diatas tidak saya temukan adanya indikasi ddos maupun user yang pakai cpu berlebihan.

Dari situ saya mengira ada yang ndak beres di node utama. jadi saya siapkan server baru yang fresh (SERVER B).
Selanjutnya saya pindahin secara bertahap setiap account reseller di server A ke server B.
Reseller A dengan klien terbanyak (100 klien lebih) saya pindahkan ke server B. Saya pantau selama 3 hari hasilnya= Server A load CPU tetap tidak berubah sedang server B setelah ditempati si Reseller A load tetap super enteng. load cpu cuma 0.5 s/d 0.60.

3 Hari berikutnya giliran reseller B. (kebetulan ini account reseller saya) ke server B.
Nah disini mulai ketemu penyakitnya. Yakni hanya dalam beberapa jam server B yang semula loadnya kecil setelah ditempati account reseller B, load CPU mulai ikut2an naik. Sedang server A berangsur2 mulai menurun loadnya. dan benar saja besok2nya Server A loadnya super kecil dan ganti server B yang loadnya sering menggila.

Jadi sementara saya bisa mengambil kesimpulan bahwa load tinggi ini dikarenakan ada klien di bawah reseller B yang jadi penyakitnya. Nah masalahnya saya kesulitan mencari siapa biangkeroknya. Karena dari command diatas maupun melalui daily log tidak ada user yang kelihatan memakai cpu berlebihan.

Berikut topnya.

top-sdmkttttt.png


Ada saran?
 
budiono

budiono

Expert 1.0
Btw ini naked apache atau pake nginx dan sejenisnya itu? Sudah cek antrian email?

Kenapa metode yang sama tidak dicoba untuk menemukan biang keroknya bro? Jadi dari reseller B itu dipindah satu per satu sambil dipantau, nah pada akun yang mana loadnya melonjak-lonjak? [asumsi jumlah akun di bawah reseller B cuman sedikit hehe.. kalo banyak ya sangat makan waktu]

*memantau manatau ada yang kasih metode yang ilmiah*
 
IIXPLANET

IIXPLANET

Expert 2.0
klo dicoba monitor sql a dan b apa ada perubahan mas di a setelah dipindah ke b. dan apa ada report mencurigakan dr lfd ga mas . bisa jg mungkin cron atau sql user
 
BennyKusman

BennyKusman

Hosting Guru
Verified Provider
coba install maldet mas, kemungkinan ada malware...
apakah itu php di suphp ?
 
xphones

xphones

Expert 1.0
budiono said:
Btw ini naked apache atau pake nginx dan sejenisnya itu? Sudah cek antrian email?

Kenapa metode yang sama tidak dicoba untuk menemukan biang keroknya bro? Jadi dari reseller B itu dipindah satu per satu sambil dipantau, nah pada akun yang mana loadnya melonjak-lonjak? [asumsi jumlah akun di bawah reseller B cuman sedikit hehe.. kalo banyak ya sangat makan waktu]

*memantau manatau ada yang kasih metode yang ilmiah*
Click to expand...

Nginx sudah lama saya lepas mas karena saya kurang sreg dengan "daily log" nya kalau ada nginx.

Sedang untuk email saya memang kesulitan ngecek karena ada banyak sekali lognya. Tapi biasanya kalau ada yang coba2 nyepam csf akan ngirim notif "local relay alert"

Sebelum buat trid ini yang saya lakukan adalah memindahkan kembali semua klien reseller B ke server A. kemudian saya ambil 3 klien dengan trafik masing2 diatas 3000/day ke server B. hasilnya server B sedikit naik loadnya tapi masih dalam batas normal. dan server A loadnya masih belum stabil. (saya asumsikan proses propagasi belum 100%).

vishualhost said:
klo dicoba monitor sql a dan b apa ada perubahan mas di a setelah dipindah ke b. dan apa ada report mencurigakan dr lfd ga mas . bisa jg mungkin cron atau sql user
Click to expand...

revti said:
cek koneksi mysqlnya lewat phpmyadmin monitor, lihat user mana yang bikin banyak koneksi ke database
Click to expand...

Saya menemukan klien yang situsnya setiap hari dipenuhi ratusan spam komen dan sepertinya komen tersebut masuk ke mysql. Sudah saya coba suspend selama beberapa jam tapi tidak ada efek .

BennyKusman said:
coba install maldet mas, kemungkinan ada malware...
apakah itu php di suphp ?
Click to expand...

Saya sudah lama pasang lmd mas benny :). ini saran dari kang jaap dan mas banes. :D

Untuk saat ini sedikit mulai ketemu penyebabnya, nanti saya update lagi kepastiannya.
 
xphones

xphones

Expert 1.0
Ternyata ini biangkeroknya.

.mnmnmn.png

Benar2 bikin sakit hati nih klien. Sudah jelas2 tertulis warning di news cpanel "DILARANG KERAS PASANG SCRIPT BOT AUTOLIKE, AUTO COMMENT FACEBOOK......" Ternyata peringatan dengan ancaman terminate tidak digubris.

Account ini di daily log cuma habisin 3% cpu, lewat command2 diatas malah tidak pernah kelihatan. Tapi yang pasti setelah account ini saya tendang load cpu langsung turun drastis.

Terimakasih untuk semuanya. senang kalau ada masalah ada yang bersedia ngasih masukan terlebih yang ngasih masukan diatas adalah saya anggap senior semua :)
 
IIXPLANET

IIXPLANET

Expert 2.0
@mas xphones di block aja mas script2 semacam itu biar kedepan ga kesulitan mencari karena sudah auto denied
dulu diserver jg ada yg kaya gt memang betul buat load avg jd besar
 
Status
Not open for further replies.

Top