Mengatasi SYNFlood


Status
Not open for further replies.

IIXPLANET

Expert 2.0
@mas bayu apakah ada web yg memang trafficnya hit / besar mas di vpsnya?
 

Bayu Pinasthika

Beginner 1.0
@mas bayu apakah ada web yg memang trafficnya hit / besar mas di vpsnya?

Ada namun hanya beberapa web (kurang dari 3 web) ..

VPS saya memorynya 2 GB, skrg saya menemukan kejanggalan mas ..

| nobody | 0 | 2.2 | 4.0 | /usr/local/apache/bin/httpd -k start -DSSL

Maksudnya apa ya banyak proses seperti itu ?? Maaf kalau banyak nanya, saya masih belajar .. :D
 

IIXPLANET

Expert 2.0
Ada namun hanya beberapa web (kurang dari 3 web) ..

VPS saya memorynya 2 GB, skrg saya menemukan kejanggalan mas ..

| nobody | 0 | 2.2 | 4.0 | /usr/local/apache/bin/httpd -k start -DSSL

Maksudnya apa ya banyak proses seperti itu ?? Maaf kalau banyak nanya, saya masih belajar .. :D

ini normal mas, itu apache process dr user

hasil dari topnya baik cpu dan memory usagenya brp memang yg paling atas beberapa baris sampai sebelum process list?
 

Bayu Pinasthika

Beginner 1.0
ini normal mas, itu apache process dr user

hasil dari topnya baik cpu dan memory usagenya brp memang yg paling atas beberapa baris sampai sebelum process list?

lebih dari 10 mas sampai ke process list

Tasks: 263 total, 94 running, 142 sleeping, 1 stopped, 26 zombie
Cpu(s): 62.2%us, 37.8%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 2097152k total, 2078756k used, 18396k free, 0k buffers
Swap: 0k total, 0k used, 0k free, 0k cached
 

IIXPLANET

Expert 2.0
coba pastekan hasil kedua cmd ini :

ps aux | awk {'print $1'} | sort | uniq -c | sort -n


ps -eo pcpu,user,pid,cmd | sort -r | head -5
 

Bayu Pinasthika

Beginner 1.0
coba pastekan hasil kedua cmd ini :

ps aux | awk {'print $1'} | sort | uniq -c | sort -n


ps -eo pcpu,user,pid,cmd | sort -r | head -5

# ps aux | awk {'print $1'} | sort | uniq -c | sort -n
1 mailnull
1 mysql
1 named
1 USER
3 user2
4 dovecot
46 root
71 user1
82 nobody


# ps -eo pcpu,user,pid,cmd | sort -r | head -5
%CPU USER PID CMD
9.6 user1 22212 /usr/bin/php /home/user1/public_html/a/index.php
5.0 user1 22222 /usr/bin/php /home/user1/public_html/a/index.php
5.0 user1 22221 /usr/bin/php /home/user1/public_html/a/index.php
4.0 user1 22223 /usr/bin/php /home/user1/public_html/a/index.php
 

IIXPLANET

Expert 2.0
# ps aux | awk {'print $1'} | sort | uniq -c | sort -n
1 mailnull
1 mysql
1 named
1 USER
3 user2
4 dovecot
46 root
71 user1
82 nobody


# ps -eo pcpu,user,pid,cmd | sort -r | head -5
%CPU USER PID CMD
9.6 user1 22212 /usr/bin/php /home/user1/public_html/a/index.php
5.0 user1 22222 /usr/bin/php /home/user1/public_html/a/index.php
5.0 user1 22221 /usr/bin/php /home/user1/public_html/a/index.php
4.0 user1 22223 /usr/bin/php /home/user1/public_html/a/index.php

dari quick mitigation yg saya lihat , sepertinya dugaan ini syn attack tidak benar / salah mas
karena dari hasil check

netstat -nap | grep SYN | wc -l

count hanya 18

coba dilihat dibagian ini

# ps aux | awk {'print $1'} | sort | uniq -c | sort -n
1 mailnull
1 mysql
1 named
1 USER
3 user2
4 dovecot
46 root
71 user1
82 nobody

proses terbanyak 71 oleh user1 dimana match dengan top 5 pemakai cpu dan memory terbesar di vps mas yg dicheck melalui cmd ini # ps -eo pcpu,user,pid,cmd | sort -r | head -5

jadi ini sepertinya user1 yg menghabiskan resources vps mas :) dan bukan syn attack

ini hanya quick mitigation saja, untuk deep nya mas bs lakukan full searching ke dalam script / acc tersebut.

karena ini bisa dari traffic / buggy script , kenapa saya katakan buggy script karena hasil top yg mas paste zombie processnya 26 .

langkah akhir setelah pengecekan mas bisa lakukan tweaking dan minimalizir cpu usage dengan beberapa variable setting di server mas . jika tidak vpsnya akan kekurangan memory dan itu yg buat server mas lambat diakses / lag.
 

bintang

Apprentice 2.0
lebih dari 10 mas sampai ke process list

Tasks: 263 total, 94 running, 142 sleeping, 1 stopped, 26 zombie
Cpu(s): 62.2%us, 37.8%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 2097152k total, 2078756k used, 18396k free, 0k buffers
Swap: 0k total, 0k used, 0k free, 0k cached

Ada zombie... :42: Lenyapin zombie dulu mas :D
 
Status
Not open for further replies.

Top