pasaisea
Beginner 2.0
Siang, help mau minta pendapat nih, tiba-tiba kemarin server web & mail saya mengalami lonjakan CPU load 100% karena MySQL nya terlalu banyak incoming connections. Terus saya kan pake Linux Ubuntu, pas saya coba command netstat -tan hasilnya ada lebih dari ratusan koneksi dari IP asal Rusia. Saya block satu IP itu, langsung deh server CPU load 100% turun drastis jadi cuma 3%.
Terus kayaknya si doski rusia ntu ga terima deh, dia nyoba connect2 terus ke server saya pake IP-IP russia lainnya. Walhasil daripada saya pusing, saya blok aja itu 1 negara rusia supayaa ga bisa akses server saya.
Tapi saya belum bisa tenang Tuan, soalnya doski nyoba -nyoba pake IP lain, saya perhatiin ada incoming connections dari negara Austria, Perancis, Seychelles yang ga jelas gitu , padahal saya kan bukan jalanin website internasional, cuma website lokal doank, website kelas teri lah.
Yang diserang itu bagian SQL nya, jadi mereka terus-terusan generate SQL connections dengan time out yang singkat. Terus keputus. Contohnya gini Tuan klo dilihat dari Webmin -> MySQL Server ->Database Connections (Terlampir di attachment)
Itu saking banyaknya sampe ID nya tuh tadi pagi masih 4000-an tapi siang ini udah 8000-an. Kalo kata sumber nara dari tempat lain katanya "Current situation is, you need to figure out which web application is used by spammer/hacker to generate so many sql connections." Tapi saya bingung gimana cara taunya mana aplikasi web yang digunain sbg spammer untuk generate sql connections. Bagaimana caranya agar dia tidak generate ID-ID lagi di database connections
Help me Tuan. Butuh saran dan pendapat
Sebelumnya atas perhatiannya saya ucapkan terima kasih
Terus kayaknya si doski rusia ntu ga terima deh, dia nyoba connect2 terus ke server saya pake IP-IP russia lainnya. Walhasil daripada saya pusing, saya blok aja itu 1 negara rusia supayaa ga bisa akses server saya.
Tapi saya belum bisa tenang Tuan, soalnya doski nyoba -nyoba pake IP lain, saya perhatiin ada incoming connections dari negara Austria, Perancis, Seychelles yang ga jelas gitu , padahal saya kan bukan jalanin website internasional, cuma website lokal doank, website kelas teri lah.
Yang diserang itu bagian SQL nya, jadi mereka terus-terusan generate SQL connections dengan time out yang singkat. Terus keputus. Contohnya gini Tuan klo dilihat dari Webmin -> MySQL Server ->Database Connections (Terlampir di attachment)
Itu saking banyaknya sampe ID nya tuh tadi pagi masih 4000-an tapi siang ini udah 8000-an. Kalo kata sumber nara dari tempat lain katanya "Current situation is, you need to figure out which web application is used by spammer/hacker to generate so many sql connections." Tapi saya bingung gimana cara taunya mana aplikasi web yang digunain sbg spammer untuk generate sql connections. Bagaimana caranya agar dia tidak generate ID-ID lagi di database connections
Help me Tuan. Butuh saran dan pendapat
Sebelumnya atas perhatiannya saya ucapkan terima kasih
IP diblok satu, yang lainnya berdatangan. Saya takut klo blok semua negara kecuali indonesia nanti ada masalah ga bisa nerima email