[help] Server kena DDoS Aneh, Koneksi 127.0.0.1 Membengkak

[sanglegenda]

Sesuai dengan judul Tuan, hampir 3-4 kali dalam seminggu server web saya kena DDoS

Padahal sudah pakai cloudlare, jadi tandanya, web down, dan pas saya cek

netstat -n -p|grep SYN_REC | wc -l

Nilainya bisa lebih dari 50, padahal batas wajarnya dibawah 5

Nah saat saya cek IP yang bikin koneksi banyak itu malah 127.0.0.1

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Nilainya lebih dari 1000 (batas wajarnya dibawah 150) dan terkadang IP dari cloudlare bengkak juga
127.0.0.1 itu localhost kan ya? kok bisa gede begitu? apa dia nyerangnya ke 127.0.0.1 atau gimana?

Kalau udah kena begini, biasanya di cloudflare firewall-nya saya set I'am Under Attack!, dan memang bisa nurunin, cuma ya jadi kasian visitor harus nunggu 5 detik buat masuk web saya

Kalau udah begini, solusinya gimana ya? dan benarkah DDoS dan nyerang 127.0.0.1?

Mohon bantuannya mastah, terima kasih sebelumnya buat yang jawab.

 

[sanglegenda]

Sesuai dengan judul Tuan, hampir 3-4 kali dalam seminggu server web saya kena DDoS

Padahal sudah pakai cloudlare, jadi tandanya, web down, dan pas saya cek

netstat -n -p|grep SYN_REC | wc -l

Nilainya bisa lebih dari 50, padahal batas wajarnya dibawah 5

Nah saat saya cek IP yang bikin koneksi banyak itu malah 127.0.0.1

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Nilainya lebih dari 1000 (batas wajarnya dibawah 150) dan terkadang IP dari cloudlare bengkak juga
127.0.0.1 itu localhost kan ya? kok bisa gede begitu? apa dia nyerangnya ke 127.0.0.1 atau gimana?

Kalau udah kena begini, biasanya di cloudflare firewall-nya saya set I'am Under Attack!, dan memang bisa nurunin, cuma ya jadi kasian visitor harus nunggu 5 detik buat masuk web saya

Kalau udah begini, solusinya gimana ya? dan benarkah DDoS dan nyerang 127.0.0.1?

Mohon bantuannya mastah, terima kasih sebelumnya buat yang jawab.

 

[mustafaramadhan]

DDos bukannya serangan dari luar?. Kalau dari 127.0.0.1 bisa jadi ada process yang berlebihan dari dalam.

 

[sanglegenda]

DDos bukannya serangan dari luar?. Kalau dari 127.0.0.1 bisa jadi ada process yang berlebihan dari dalam.

Tapi berdasarkan cara identifikasi DDoS dimari

http://www.time4vps.eu/knowledgebase.php?action=displayarticle&id=182

netstat -n -p|grep SYN_REC | wc -l

jika lebih dari lima, berarti DDoS, bingung juga ini makanya, kok bisa 127.0.0.1.

 

[mustafaramadhan]

Tapi berdasarkan cara identifikasi DDoS dimari

http://www.time4vps.eu/knowledgebase.php?action=displayarticle&id=182

netstat -n -p|grep SYN_REC | wc -l

jika lebih dari lima, berarti DDoS, bingung juga ini makanya, kok bisa 127.0.0.1.

Yang 127.0.0.1 itu pakai port berapa?. Coba infokan 'netstat -n -p|grep tcp' (tanpa quote).

 

[sentabi]

kecil banget gambarnya, ga ada yang lebih gede?

pake web server apa?

 

[FaFaFi Hosting]

disana pakai reverse proxy ?,... misal frontend pakai nginx backend pakai apache

 

[sanglegenda]

Yang 127.0.0.1 itu pakai port berapa?. Coba infokan 'netstat -n -p|grep tcp' (tanpa quote).

Ini mas, port 9001 sepertinya ya?

 

[sanglegenda]

kecil banget gambarnya, ga ada yang lebih gede?

pake web server apa?

Maaf ini gambarnya, pakai web server nginx, dengan control panel Webuzo

disana pakai reverse proxy ?,... misal frontend pakai nginx backend pakai apache

Pakai nginx aja mas, gak install apache, saya pakai Webuzo

 

[mustafaramadhan]

Kalau port bukan 80 atau 443 maka rasanya 127.0.0.1 adalah dari proxy (misalnya nginx-proxy; nginx di-front dan apache di back-end) atau fastcgi yang 'komunikasi' antar webserver dan php melalui IPort.