[ask] Mitigasi abusif

xphones · 1 Jan 2014

Selamat Tahun Baru dulu untuk semuanya.

Begini.
Server A. beberapa minggu ini load CPU selalu berada di angka 1,60 s/d 10,xx bahkan terkadang sampai diatas 25,xx

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

netstat -ntu | grep SYN_RECV | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

ps -eo pcpu,user,pid,cmd | sort -r | head -5

ps aux | awk 'NR != 1 {x[$1] += $3} END{ for(z in x) {print z, x[z]"%"}}'

ps -eo user,pcpu,pmem | tail -n +2 | awk '{num[$1]++; cpu[$1] += $2; mem[$1] += $3} END{printf("NPROC\tUSER\tCPU\tMEM\n"); for (user in cpu) printf("%d\t%s\t%.2f\t%.2f\n",num[user], user, cpu[user], mem[user]) }' | sort

Biasanya akan ketahuan ada IP nakal atau klien yang abusif. Tapi dari semua perintah diatas tidak saya temukan adanya indikasi ddos maupun user yang pakai cpu berlebihan.

Dari situ saya mengira ada yang ndak beres di node utama. jadi saya siapkan server baru yang fresh (SERVER B).
Selanjutnya saya pindahin secara bertahap setiap account reseller di server A ke server B.
Reseller A dengan klien terbanyak (100 klien lebih) saya pindahkan ke server B. Saya pantau selama 3 hari hasilnya= Server A load CPU tetap tidak berubah sedang server B setelah ditempati si Reseller A load tetap super enteng. load cpu cuma 0.5 s/d 0.60.

3 Hari berikutnya giliran reseller B. (kebetulan ini account reseller saya) ke server B.
Nah disini mulai ketemu penyakitnya. Yakni hanya dalam beberapa jam server B yang semula loadnya kecil setelah ditempati account reseller B, load CPU mulai ikut2an naik. Sedang server A berangsur2 mulai menurun loadnya. dan benar saja besok2nya Server A loadnya super kecil dan ganti server B yang loadnya sering menggila.

Jadi sementara saya bisa mengambil kesimpulan bahwa load tinggi ini dikarenakan ada klien di bawah reseller B yang jadi penyakitnya. Nah masalahnya saya kesulitan mencari siapa biangkeroknya. Karena dari command diatas maupun melalui daily log tidak ada user yang kelihatan memakai cpu berlebihan.

Berikut topnya.

Ada saran?

budiono · 1 Jan 2014

Btw ini naked apache atau pake nginx dan sejenisnya itu? Sudah cek antrian email?

Kenapa metode yang sama tidak dicoba untuk menemukan biang keroknya bro? Jadi dari reseller B itu dipindah satu per satu sambil dipantau, nah pada akun yang mana loadnya melonjak-lonjak? [asumsi jumlah akun di bawah reseller B cuman sedikit hehe.. kalo banyak ya sangat makan waktu]

*memantau manatau ada yang kasih metode yang ilmiah*

IIXPLANET · 3 Jan 2014

klo dicoba monitor sql a dan b apa ada perubahan mas di a setelah dipindah ke b. dan apa ada report mencurigakan dr lfd ga mas . bisa jg mungkin cron atau sql user

revti · 3 Jan 2014

cek koneksi mysqlnya lewat phpmyadmin monitor, lihat user mana yang bikin banyak koneksi ke database

BennyKusman · 3 Jan 2014

coba install maldet mas, kemungkinan ada malware...
apakah itu php di suphp ?

xphones · 3 Jan 2014

budiono said:
Btw ini naked apache atau pake nginx dan sejenisnya itu? Sudah cek antrian email?

Kenapa metode yang sama tidak dicoba untuk menemukan biang keroknya bro? Jadi dari reseller B itu dipindah satu per satu sambil dipantau, nah pada akun yang mana loadnya melonjak-lonjak? [asumsi jumlah akun di bawah reseller B cuman sedikit hehe.. kalo banyak ya sangat makan waktu]

*memantau manatau ada yang kasih metode yang ilmiah*

Nginx sudah lama saya lepas mas karena saya kurang sreg dengan "daily log" nya kalau ada nginx.

Sedang untuk email saya memang kesulitan ngecek karena ada banyak sekali lognya. Tapi biasanya kalau ada yang coba2 nyepam csf akan ngirim notif "local relay alert"

Sebelum buat trid ini yang saya lakukan adalah memindahkan kembali semua klien reseller B ke server A. kemudian saya ambil 3 klien dengan trafik masing2 diatas 3000/day ke server B. hasilnya server B sedikit naik loadnya tapi masih dalam batas normal. dan server A loadnya masih belum stabil. (saya asumsikan proses propagasi belum 100%).

vishualhost said:
klo dicoba monitor sql a dan b apa ada perubahan mas di a setelah dipindah ke b. dan apa ada report mencurigakan dr lfd ga mas . bisa jg mungkin cron atau sql user

revti said:
cek koneksi mysqlnya lewat phpmyadmin monitor, lihat user mana yang bikin banyak koneksi ke database

Saya menemukan klien yang situsnya setiap hari dipenuhi ratusan spam komen dan sepertinya komen tersebut masuk ke mysql. Sudah saya coba suspend selama beberapa jam tapi tidak ada efek .

BennyKusman said:
coba install maldet mas, kemungkinan ada malware...
apakah itu php di suphp ?

Saya sudah lama pasang lmd mas benny

. ini saran dari kang jaap dan mas banes.

Untuk saat ini sedikit mulai ketemu penyebabnya, nanti saya update lagi kepastiannya.

IIXPLANET · 3 Jan 2014

mudah2an bisa ketemu mas penyebabnya dan bisa di fix .

xphones · 3 Jan 2014

Ternyata ini biangkeroknya.

.

Benar2 bikin sakit hati nih klien. Sudah jelas2 tertulis warning di news cpanel "DILARANG KERAS PASANG SCRIPT BOT AUTOLIKE, AUTO COMMENT FACEBOOK......" Ternyata peringatan dengan ancaman terminate tidak digubris.

Account ini di daily log cuma habisin 3% cpu, lewat command2 diatas malah tidak pernah kelihatan. Tapi yang pasti setelah account ini saya tendang load cpu langsung turun drastis.

Terimakasih untuk semuanya. senang kalau ada masalah ada yang bersedia ngasih masukan terlebih yang ngasih masukan diatas adalah saya anggap senior semua

FluidaWeb · 4 Jan 2014

itu sampai ketemu biangnya bagaimana?

IIXPLANET · 4 Jan 2014

@mas xphones di block aja mas script2 semacam itu biar kedepan ga kesulitan mencari karena sudah auto denied
dulu diserver jg ada yg kaya gt memang betul buat load avg jd besar

[ask] Mitigasi abusif

xphones

Expert 1.0

budiono

Expert 1.0

IIXPLANET

Expert 2.0

revti

Poster 2.0

BennyKusman

Hosting Guru

xphones

Expert 1.0

IIXPLANET

Expert 2.0

xphones

Expert 1.0

FluidaWeb

Hosting Guru

IIXPLANET

Expert 2.0