[ask] Mitigasi abusif

Discussion in 'Masalah Teknik dan Keamanan' started by xphones, 1 Jan 2014.

Thread Status:
Not open for further replies.
  1. xphones

    xphones Expert 1.0

    Messages:
    745
    Likes Received:
    41
    Trophy Points:
    28
    Selamat Tahun Baru dulu untuk semuanya.


    Begini.
    Server A. beberapa minggu ini load CPU selalu berada di angka 1,60 s/d 10,xx bahkan terkadang sampai diatas 25,xx

    Biasanya akan ketahuan ada IP nakal atau klien yang abusif. Tapi dari semua perintah diatas tidak saya temukan adanya indikasi ddos maupun user yang pakai cpu berlebihan.

    Dari situ saya mengira ada yang ndak beres di node utama. jadi saya siapkan server baru yang fresh (SERVER B).
    Selanjutnya saya pindahin secara bertahap setiap account reseller di server A ke server B.
    Reseller A dengan klien terbanyak (100 klien lebih) saya pindahkan ke server B. Saya pantau selama 3 hari hasilnya= Server A load CPU tetap tidak berubah sedang server B setelah ditempati si Reseller A load tetap super enteng. load cpu cuma 0.5 s/d 0.60.

    3 Hari berikutnya giliran reseller B. (kebetulan ini account reseller saya) ke server B.
    Nah disini mulai ketemu penyakitnya. Yakni hanya dalam beberapa jam server B yang semula loadnya kecil setelah ditempati account reseller B, load CPU mulai ikut2an naik. Sedang server A berangsur2 mulai menurun loadnya. dan benar saja besok2nya Server A loadnya super kecil dan ganti server B yang loadnya sering menggila.

    Jadi sementara saya bisa mengambil kesimpulan bahwa load tinggi ini dikarenakan ada klien di bawah reseller B yang jadi penyakitnya. Nah masalahnya saya kesulitan mencari siapa biangkeroknya. Karena dari command diatas maupun melalui daily log tidak ada user yang kelihatan memakai cpu berlebihan.

    Berikut topnya.

    [​IMG]

    Ada saran?
     
  2. budiono

    budiono Expert 1.0

    Messages:
    697
    Likes Received:
    65
    Trophy Points:
    28
    Btw ini naked apache atau pake nginx dan sejenisnya itu? Sudah cek antrian email?

    Kenapa metode yang sama tidak dicoba untuk menemukan biang keroknya bro? Jadi dari reseller B itu dipindah satu per satu sambil dipantau, nah pada akun yang mana loadnya melonjak-lonjak? [asumsi jumlah akun di bawah reseller B cuman sedikit hehe.. kalo banyak ya sangat makan waktu]

    *memantau manatau ada yang kasih metode yang ilmiah*
     
  3. vishualhost

    vishualhost Expert 2.0

    Messages:
    813
    Likes Received:
    80
    Trophy Points:
    28
    klo dicoba monitor sql a dan b apa ada perubahan mas di a setelah dipindah ke b. dan apa ada report mencurigakan dr lfd ga mas . bisa jg mungkin cron atau sql user
     
  4. revti

    revti Poster 2.0

    Messages:
    174
    Likes Received:
    14
    Trophy Points:
    18
    cek koneksi mysqlnya lewat phpmyadmin monitor, lihat user mana yang bikin banyak koneksi ke database
     
  5. BennyKusman

    BennyKusman Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,234
    Likes Received:
    239
    Trophy Points:
    63
    coba install maldet mas, kemungkinan ada malware...
    apakah itu php di suphp ?
     
  6. xphones

    xphones Expert 1.0

    Messages:
    745
    Likes Received:
    41
    Trophy Points:
    28
    Nginx sudah lama saya lepas mas karena saya kurang sreg dengan "daily log" nya kalau ada nginx.

    Sedang untuk email saya memang kesulitan ngecek karena ada banyak sekali lognya. Tapi biasanya kalau ada yang coba2 nyepam csf akan ngirim notif "local relay alert"

    Sebelum buat trid ini yang saya lakukan adalah memindahkan kembali semua klien reseller B ke server A. kemudian saya ambil 3 klien dengan trafik masing2 diatas 3000/day ke server B. hasilnya server B sedikit naik loadnya tapi masih dalam batas normal. dan server A loadnya masih belum stabil. (saya asumsikan proses propagasi belum 100%).

    Saya menemukan klien yang situsnya setiap hari dipenuhi ratusan spam komen dan sepertinya komen tersebut masuk ke mysql. Sudah saya coba suspend selama beberapa jam tapi tidak ada efek .

    Saya sudah lama pasang lmd mas benny :). ini saran dari kang jaap dan mas banes. :D

    Untuk saat ini sedikit mulai ketemu penyebabnya, nanti saya update lagi kepastiannya.
     
    budiono likes this.
  7. vishualhost

    vishualhost Expert 2.0

    Messages:
    813
    Likes Received:
    80
    Trophy Points:
    28
    mudah2an bisa ketemu mas penyebabnya dan bisa di fix .
     
    xphones likes this.
  8. xphones

    xphones Expert 1.0

    Messages:
    745
    Likes Received:
    41
    Trophy Points:
    28
    Ternyata ini biangkeroknya.

    . mnmnmn.png

    Benar2 bikin sakit hati nih klien. Sudah jelas2 tertulis warning di news cpanel "DILARANG KERAS PASANG SCRIPT BOT AUTOLIKE, AUTO COMMENT FACEBOOK......" Ternyata peringatan dengan ancaman terminate tidak digubris.

    Account ini di daily log cuma habisin 3% cpu, lewat command2 diatas malah tidak pernah kelihatan. Tapi yang pasti setelah account ini saya tendang load cpu langsung turun drastis.

    Terimakasih untuk semuanya. senang kalau ada masalah ada yang bersedia ngasih masukan terlebih yang ngasih masukan diatas adalah saya anggap senior semua :)
     
    budiono likes this.
  9. FluidaWeb

    FluidaWeb Expert 1.0

    Messages:
    644
    Likes Received:
    85
    Trophy Points:
    28
    itu sampai ketemu biangnya bagaimana?
     
  10. vishualhost

    vishualhost Expert 2.0

    Messages:
    813
    Likes Received:
    80
    Trophy Points:
    28
    @mas xphones di block aja mas script2 semacam itu biar kedepan ga kesulitan mencari karena sudah auto denied
    dulu diserver jg ada yg kaya gt memang betul buat load avg jd besar
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...