[Help] Server sepertinya lagi Kena Serangan DDoS/Spam

Discussion in 'Masalah Teknik dan Keamanan' started by pasaisea, 13 Apr 2016.

Thread Status:
Not open for further replies.
  1. pasaisea

    pasaisea Beginner 2.0

    Messages:
    17
    Likes Received:
    0
    Trophy Points:
    1
    Siang, help mau minta pendapat nih, tiba-tiba kemarin server web & mail saya mengalami lonjakan CPU load 100% karena MySQL nya terlalu banyak incoming connections. Terus saya kan pake Linux Ubuntu, pas saya coba command netstat -tan hasilnya ada lebih dari ratusan koneksi dari IP asal Rusia. Saya block satu IP itu, langsung deh server CPU load 100% turun drastis jadi cuma 3%.

    Terus kayaknya si doski rusia ntu ga terima deh, dia nyoba connect2 terus ke server saya pake IP-IP russia lainnya. Walhasil daripada saya pusing, saya blok aja itu 1 negara rusia supayaa ga bisa akses server saya.

    Tapi saya belum bisa tenang Tuan, soalnya doski nyoba -nyoba pake IP lain, saya perhatiin ada incoming connections dari negara Austria, Perancis, Seychelles yang ga jelas gitu , padahal saya kan bukan jalanin website internasional, cuma website lokal doank, website kelas teri lah.

    Yang diserang itu bagian SQL nya, jadi mereka terus-terusan generate SQL connections dengan time out yang singkat. Terus keputus. Contohnya gini Tuan klo dilihat dari Webmin -> MySQL Server ->Database Connections (Terlampir di attachment)

    [​IMG]

    Itu saking banyaknya sampe ID nya tuh tadi pagi masih 4000-an tapi siang ini udah 8000-an. Kalo kata sumber nara dari tempat lain katanya "Current situation is, you need to figure out which web application is used by spammer/hacker to generate so many sql connections." Tapi saya bingung gimana cara taunya mana aplikasi web yang digunain sbg spammer untuk generate sql connections. Bagaimana caranya agar dia tidak generate ID-ID lagi di database connections

    Help me Tuan. Butuh saran dan pendapat

    Sebelumnya atas perhatiannya saya ucapkan terima kasih
     

    Attached Files:

  2. Mylo Sepz

    Mylo Sepz Apprentice 2.0

    Messages:
    532
    Likes Received:
    59
    Trophy Points:
    28
    Kalo gak ada aplikasi yang butuh koneksi mysql dari luar, mending di matiin aja remote sqlnya. jadi gak bisa remote. kalo gak backlist ip semuanya tapi whitelist ip yang di percaya
     
  3. IDreg.Net

    IDreg.Net Expert 2.0 Web Hosting (Company)

    Messages:
    818
    Likes Received:
    226
    Trophy Points:
    43
    ini control panel nya pakai cPanel ya ?
    apa sdh pakai LMD ?
    mengatasi serangan D-Dos memang tidak semudah yg kita bayangkan
    coba cek pelan2 di PC yg di gunakan untuk akases ke serer, kemungkinan bs saja terinfeksi malware atau trojan.
    si user bs saja buat konesi baru dgn lagi, karena ada celah yg sdh tertanam.
     
    HostingMurahAja likes this.
  4. pasaisea

    pasaisea Beginner 2.0

    Messages:
    17
    Likes Received:
    0
    Trophy Points:
    1
    Maksudnya PhpMyadmin nya ya? PHPmyadminnya sudah saya set tidak bisa diakses dari seluruh ip lainnya kecuali ip pc saya

    Saya lagi panik nih masbro hiks :20: IP diblok satu, yang lainnya berdatangan. Saya takut klo blok semua negara kecuali indonesia nanti ada masalah ga bisa nerima email

    Btw Ini server rakitan sendiri pakai Linux Ubuntu sebagai OS nya dan Webmin sbg Control Panelnya. Satu server ini cuma isi satu domain dan website doank beserta mail servernya.

    Terus saya kan pakai linux bukan windows, nah bisa kena malware atau trojan juga ya yg bikin generate mysql connections? Cara bersihin virus di linux gmn ya, antivirus yg ampuh apa ya, perasaan ada amasvid tp mgkn krg bagus
     
  5. Mylo Sepz

    Mylo Sepz Apprentice 2.0

    Messages:
    532
    Likes Received:
    59
    Trophy Points:
    28
    Coba blok semuanya termasuk ip pc, white localhost atau 172.0.0.1. terus restart kalo masih tinggi berarti penyebabnya dari dalem
     
  6. IDreg.Net

    IDreg.Net Expert 2.0 Web Hosting (Company)

    Messages:
    818
    Likes Received:
    226
    Trophy Points:
    43
    iya betul kata mas @Mylo Sepz block dulu semua, buat cek system
    bs di coba dulu pakai linux malware detect (LMD) di pc linux nya atau bs pakai exploid scanner
    semoga membantu
     
  7. pasaisea

    pasaisea Beginner 2.0

    Messages:
    17
    Likes Received:
    0
    Trophy Points:
    1
    Saya sudah masukkan ini ke .htaccess domain saya
    Order Allow,Deny
    Allow from alamat ip saya 1
    Allow from alamat ip saya 1

    masih tetep generate sql connections terus dengan keterangan user vmail dan database vmail. Harus bagaimana ini sy selanjutnya ya? Ada saran?
     
  8. IDreg.Net

    IDreg.Net Expert 2.0 Web Hosting (Company)

    Messages:
    818
    Likes Received:
    226
    Trophy Points:
    43
    jika semua sdh di block,
    sepertinya memang penyebab nya sdh ada di dalam, solusi semntara, install LMD di server nya, kemudian lakukan scan di server
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...