[help] Server kena DDoS Aneh, Koneksi 127.0.0.1 Membengkak

Discussion in 'VPS (Virtual Private Server)' started by sanglegenda, 11 Sep 2015.

Thread Status:
Not open for further replies.
  1. sanglegenda

    sanglegenda Poster 1.0

    Messages:
    62
    Likes Received:
    1
    Trophy Points:
    8
    Sesuai dengan judul Tuan, hampir 3-4 kali dalam seminggu server web saya kena DDoS

    Padahal sudah pakai cloudlare, jadi tandanya, web down, dan pas saya cek

    netstat -n -p|grep SYN_REC | wc -l

    [​IMG]

    Nilainya bisa lebih dari 50, padahal batas wajarnya dibawah 5

    Nah saat saya cek IP yang bikin koneksi banyak itu malah 127.0.0.1

    netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

    [​IMG]

    Nilainya lebih dari 1000 (batas wajarnya dibawah 150) dan terkadang IP dari cloudlare bengkak juga
    127.0.0.1 itu localhost kan ya? kok bisa gede begitu? apa dia nyerangnya ke 127.0.0.1 atau gimana?

    Kalau udah kena begini, biasanya di cloudflare firewall-nya saya set I'am Under Attack!, dan memang bisa nurunin, cuma ya jadi kasian visitor harus nunggu 5 detik buat masuk web saya

    Kalau udah begini, solusinya gimana ya? dan benarkah DDoS dan nyerang 127.0.0.1?

    Mohon bantuannya mastah, terima kasih sebelumnya buat yang jawab.
     

    Attached Files:

  2. sanglegenda

    sanglegenda Poster 1.0

    Messages:
    62
    Likes Received:
    1
    Trophy Points:
    8
    Sesuai dengan judul Tuan, hampir 3-4 kali dalam seminggu server web saya kena DDoS

    Padahal sudah pakai cloudlare, jadi tandanya, web down, dan pas saya cek

    netstat -n -p|grep SYN_REC | wc -l

    [​IMG]

    Nilainya bisa lebih dari 50, padahal batas wajarnya dibawah 5

    Nah saat saya cek IP yang bikin koneksi banyak itu malah 127.0.0.1

    netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

    [​IMG]

    Nilainya lebih dari 1000 (batas wajarnya dibawah 150) dan terkadang IP dari cloudlare bengkak juga
    127.0.0.1 itu localhost kan ya? kok bisa gede begitu? apa dia nyerangnya ke 127.0.0.1 atau gimana?

    Kalau udah kena begini, biasanya di cloudflare firewall-nya saya set I'am Under Attack!, dan memang bisa nurunin, cuma ya jadi kasian visitor harus nunggu 5 detik buat masuk web saya

    Kalau udah begini, solusinya gimana ya? dan benarkah DDoS dan nyerang 127.0.0.1?

    Mohon bantuannya mastah, terima kasih sebelumnya buat yang jawab.
     
  3. mustafaramadhan

    mustafaramadhan Hosting Guru

    Messages:
    3,237
    Likes Received:
    857
    Trophy Points:
    113
    DDos bukannya serangan dari luar?. Kalau dari 127.0.0.1 bisa jadi ada process yang berlebihan dari dalam.
     
  4. sanglegenda

    sanglegenda Poster 1.0

    Messages:
    62
    Likes Received:
    1
    Trophy Points:
    8
    Tapi berdasarkan cara identifikasi DDoS dimari

    http://www.time4vps.eu/knowledgebase.php?action=displayarticle&id=182

    netstat -n -p|grep SYN_REC | wc -l

    jika lebih dari lima, berarti DDoS, bingung juga ini makanya, kok bisa 127.0.0.1.
     
  5. mustafaramadhan

    mustafaramadhan Hosting Guru

    Messages:
    3,237
    Likes Received:
    857
    Trophy Points:
    113
    Yang 127.0.0.1 itu pakai port berapa?. Coba infokan 'netstat -n -p|grep tcp' (tanpa quote).
     
  6. sentabi

    sentabi Expert 1.0

    Messages:
    681
    Likes Received:
    35
    Trophy Points:
    28
    kecil banget gambarnya, ga ada yang lebih gede?

    pake web server apa?
     
  7. FaFaFi Hosting

    FaFaFi Hosting Poster 2.0

    Messages:
    124
    Likes Received:
    8
    Trophy Points:
    18
    disana pakai reverse proxy ?,... misal frontend pakai nginx backend pakai apache
     
  8. sanglegenda

    sanglegenda Poster 1.0

    Messages:
    62
    Likes Received:
    1
    Trophy Points:
    8
    Ini mas, port 9001 sepertinya ya?

    [​IMG]
     

    Attached Files:

  9. sanglegenda

    sanglegenda Poster 1.0

    Messages:
    62
    Likes Received:
    1
    Trophy Points:
    8
    Maaf ini gambarnya, pakai web server nginx, dengan control panel Webuzo

    [​IMG]

    [​IMG]

    Pakai nginx aja mas, gak install apache, saya pakai Webuzo
     

    Attached Files:

  10. mustafaramadhan

    mustafaramadhan Hosting Guru

    Messages:
    3,237
    Likes Received:
    857
    Trophy Points:
    113
    Kalau port bukan 80 atau 443 maka rasanya 127.0.0.1 adalah dari proxy (misalnya nginx-proxy; nginx di-front dan apache di back-end) atau fastcgi yang 'komunikasi' antar webserver dan php melalui IP:port.
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...