[HELP] IP di NULLROUTE karena SYNFLOOD.

[Bobby Julian]

monitoring dulu traffik nya

Untuk cara monitoringnya bagaimana ya? maaf kalau newbie.

Coba aktifin jg syn cookies di kernel

Sudah diaktifkan pak. Kira-kira dimana lagi yang salah ya?

 

[Bobby Julian]

monitoring dulu traffik nya

Untuk cara monitoringnya bagaimana ya? maaf kalau newbie.

Coba aktifin jg syn cookies di kernel

Sudah diaktifkan pak. Kira-kira dimana lagi yang salah ya?

 

[winnervps]

ga tau juga, kata supportnya kaya gini

Outgoing: 2017-02-21 05:06:35 AM xxx.xxx.xxx.xxx -> 188,416 packets in a 5 second period

Outgoing: 2017-02-21 05:06:40 AM xxx.xxx.xxx.xxx -> 253,952 packets in a 5 second period

Outgoing: 2017-02-21 05:06:50 AM xxx.xxx.xxx.xxx -> 286,720 packets in a 5 second period

Outgoing: 2017-02-21 05:06:55 AM xxx.xxx.xxx.xxx -> 278,528 packets in a 5 second period

Outgoing: 2017-02-21 05:08:00 AM xxx.xxx.xxx.xxx -> 204,800 packets in a 5 second period

Outgoing: 2017-02-21 05:08:05 AM xxx.xxx.xxx.xxx -> 294,912 packets in a 5 second period

Outgoing: 2017-02-21 05:08:10 AM xxx.xxx.xxx.xxx -> 245,760 packets in a 5 second period

Outgoing: 2017-02-21 05:08:40 AM xxx.xxx.xxx.xxx -> 196,608 packets in a 5 second period

maaf ip server disembunyikan karena ip yang ngirim dari ip server sendiri.

Kalau dilihat dari log yang diberikan, berarti ini traffic dari server ke luar? Outgoing packet?
1. Coba cek pake iftop (untuk mengecek traffic)
2. Coba cek seluruh daemon yang jalan di server (jangan2 disusupi worm/trojan/bot/zombie), yang mengirim flood ke arah luar.

 

[PremiumFastNet]

kalau dari server tuan ke server lain bisa jadi itu bukan server tuan di attack tapi memang synflood dari server tuan.

ada beberapa kasus user yang menggunakan vps
mereka menggunakan seperti proxy hunter, ssh cheker atau yg lainnya ini kedeteksi oleh provider sebagai SYNFlood, akhirnya di suspend itu vps baru ga ada efek lagi.

kalau misalnya dedi pakai linux coba scan dahulu pakai LMD (Linux Malware Detected)
pastikan password dedicated strong karena bisa saja server diattack dari ssh bruteforce kemudian si hacker tidak mengganti password dedi tetapi menanam shell dsb yg menyebabkan terkirimnya paket yg terbaca sebagai serangan synflood.

#CMIIW

 

[mitrahosting.com]

kalau dari server tuan ke server lain bisa jadi itu bukan server tuan di attack tapi memang synflood dari server tuan.

ada beberapa kasus user yang menggunakan vps
mereka menggunakan seperti proxy hunter, ssh cheker atau yg lainnya ini kedeteksi oleh provider sebagai SYNFlood, akhirnya di suspend itu vps baru ga ada efek lagi.

kalau misalnya dedi pakai linux coba scan dahulu pakai LMD (Linux Malware Detected)
pastikan password dedicated strong karena bisa saja server diattack dari ssh bruteforce kemudian si hacker tidak mengganti password dedi tetapi menanam shell dsb yg menyebabkan terkirimnya paket yg terbaca sebagai serangan synflood.

#CMIIW

LMD sama RKHunter bagus mana tuan ?

 

[FluidaWeb]

LMD sama RKHunter bagus mana tuan ?

Beda kegunaan tuan..

 

[mgilank]

server baru? kena spoofing mungkin
coba ini http://serverfault.com/questions/500986/how-to-protect-from-spoofed-syn-flood-on-a-linux-machine

 

[PremiumFastNet]

LMD sama RKHunter bagus mana tuan ?

Mungkin cek kesini kali ya
http://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/FAQ

saya juga baru tau RKhunter, biasanya gunakan LMD

 

[mitrahosting.com]

Beda kegunaan tuan..

RKHunter dengan CHK RootKit beda juga tuan ?

 

[mitrahosting.com]

Mungkin cek kesini kali ya
http://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/FAQ

saya juga baru tau RKhunter, biasanya gunakan LMD

saya baru tahu LMD dari tuan juga haha... biasanya gunakan RKHunter