Beste WHT lezers

Momenteel heb ik een klant met een best wel goed lopend forum.

hij loopt zo goed dat ze telkens last hebben van een soort DDOS op poort 80.

Deze vps draait op Directadmin uiteraard heb ik csf geinstaleerd,
en heb ik de ssh poort veranderd en de poort van Directadmin.
Je weet maar nooit met die mensen natuurlijk.

Maar op 1 of andere manier blijft dan de httpd vol lopen met requests zodat de website niet meer te bereiken is.
Nu hebben we hem al laten lopen via cloudflare, en dat houdt ook al een hele boel tegen
maar het stopt gewoon weg niet wat ik ook probeer

Wat kan ik hier nou aan doen ?

Dit (help.directadmin.com/item.php?id=302) al geprobeerd?

nee niet geprobeerd zal ik er gelijk opgooien !
alvast bedankt

nee niet geprobeerd zal ik er gelijk opgooien !
alvast bedankt
Om te kijken of dit het probleem is moet je dmv de service-status kijken wat voor requests gedaan worden, bij deze aanval zal je veel requests in de READ state vinden. Met dank aan Kees voor deze handig module natuurlijk.

enkel krijg ik dit en verder komt hij niet
==> PASV ... couldn't connect to 195.191.112.39 port 34181: Connection timed out
Retrying.

ik heb hem nu van de ftp gehaald even handmatig doen

enkel krijg ik dit en verder komt hij niet
==> PASV ... couldn't connect to 195.191.112.39 port 34181: Connection timed out
Retrying.

ik heb hem nu van de ftp gehaald even handmatig doen
Bij wat krijg je dit?

Weet je zeker dat het een (d)dos is, en niet gewoon veel bezoekers of een trage vps? Heb je al in de log gekeken wat voor requesten je krijgt?

Ik bedoel natuurlijk server-status, maar heb je hier al naar gekeken?

een te trage vps is het niet !

vps draait momenteel als enigste op die node, en ik heb hem bijna alle Resources gegeven die er beschikbaar zijn

vps draait momenteel als enigste op die node, en ik heb hem bijna alle Resources gegeven die er beschikbaar zijn

Dat wil niet direct uitsluiten dat het dan maar niet traag is... Wat als er een flinke vertraging is door de gebruikte virtualisatietechniek, hardware, etc...?
Daarnaast als het forum druk genoeg is dan is zelfs 1 fysieke server niet afdoende, ik bedoel maar...

Ik probeer dit soort vragen elke keer te beantwoorden, maar eigenlijk is het te weinig informatie om te kunnen zeggen wat je moet doen.

Als eerste... een big ass ddos en je kunt beter je vps down brengen en een filmpie opzetten. Het is totaal zinloos in bepaalde gevallen om een ddos proberen te voorkomen, afwenden of whatever. Zolang je geen paypal heet dan verliezen de meeste ddossers na 1-2 uur hun interesse wel.

Wil je er wel iets aan doen, dan moet je eerst weten waar je mee te maken hebt. Dit kan vanalles zijn van een tekort aan iops tot een vriendenclubje dat F5 ramt op je zoekscherm tot een synflood van 25.000 ips. En uiteraard heeft alles zijn eigen oplossing. Soms kun je beter optimaliseren of cachen, andere keren kun je beter de helft van de wereld met een paar firewall rules blokken.
En soms moet je een 'intelligent' stukje code knutselen om access tot bekende bezoekers toe te staan en de rest tijdelijk te blokken.

Welke forum software gebruik je?
Oude versies van phpBB staan bekend om langzamer te worden naarmate het drukken wordt.

De nieuwste versie maakt gebruik van caching om dit beter op te vangen.

Alleen omdat de website down gaat wil dit niet zeggen dat je wordt aangevallen.
Websites gaan wel vaker plat door een explosieve groei in het aantal bezoekers.

Dit (help.directadmin.com/item.php?id=302) al geprobeerd?

Indien je CSF/LFD als firewall gebruikt, kun je dit ook via CSF/LFD instellen. Scheelt je weer een hercompilatie.

Welke forum software gebruik je?
Oude versies van phpBB staan bekend om langzamer te worden naarmate het drukken wordt.

De nieuwste versie maakt gebruik van caching om dit beter op te vangen.

Alleen omdat de website down gaat wil dit niet zeggen dat je wordt aangevallen.
Websites gaan wel vaker plat door een explosieve groei in het aantal bezoekers.

Hallo, ik ben de maker/eigenaar van het forum..

Wij gebruiken geen phpBB of wat dan ook, hebben eigen gemaakt forum dat zeer snel werkt en zeker niet veel vraagt van een server! Wij hebben op sommige momenten 60 mensen online gezien en alles bleef snel.
het is dus zeker weten een DDos probleem, Op dit moment is het aardig opgelost (ze komen niet op het max memory waardoor de site online blijft )

Hallo, ik ben de maker/eigenaar van het forum..

Wij gebruiken geen phpBB of wat dan ook, hebben eigen gemaakt forum dat zeer snel werkt en zeker niet veel vraagt van een server! Wij hebben op sommige momenten 60 mensen online gezien en alles bleef snel.
het is dus zeker weten een DDos probleem, Op dit moment is het aardig opgelost (ze komen niet op het max memory waardoor de site online blijft )
Wat is nu je onderbouwing dat het een DDos is?

Hallo, ik ben de maker/eigenaar van het forum..

Wij gebruiken geen phpBB of wat dan ook, hebben eigen gemaakt forum dat zeer snel werkt en zeker niet veel vraagt van een server! Wij hebben op sommige momenten 60 mensen online gezien en alles bleef snel.
het is dus zeker weten een DDos probleem, Op dit moment is het aardig opgelost (ze komen niet op het max memory waardoor de site online blijft )
Zorg voor onderbouwing, en kijk naar een server-status dat is zeer belangrijke informatie heren.

Wat staat er in je mysql slow log?

Wat is nu je onderbouwing dat het een DDos is?

dat we weten dat het script / de vps vele bezoekers gewoon aankan... normaal hangt memory gebruik rond de 200mb maar bij ddos zitten we op de 1,2gb

Hallo, ik ben de maker/eigenaar van het forum..

Wij gebruiken geen phpBB of wat dan ook, hebben eigen gemaakt forum dat zeer snel werkt en zeker niet veel vraagt van een server! Wij hebben op sommige momenten 60 mensen online gezien en alles bleef snel.
het is dus zeker weten een DDos probleem, Op dit moment is het aardig opgelost (ze komen niet op het max memory waardoor de site online blijft )

Zestig gelijktijdige bezoekers? Dat noem ik niet erg veel. Ook je conclusie dat de max_memory limit er iets mee te maken heeft lijkt me niet kloppen. Een echte DDOS maakt zoveel gelijktijdige connecties aan dat alles gewoon vastloopt. Of het moet een 'kleine' DDOS zijn.. Kan het niet een pagina op het forum zijn die flink de soep in gaat en veel recources trekt? En die dus sporadisch wordt aangeroepen wanneer iemand deze pagina bezoekt?

dat we weten dat het script / de vps vele bezoekers gewoon aankan... normaal hangt memory gebruik rond de 200mb maar bij ddos zitten we op de 1,2gb

Hoe weet je dat?
(ik mis nog iedere onderbouwing in je antwoorden)
Logfiles, statistieken, server status, mysql (slow)logs, connectie's, blablabla

Om welke website gaat het?

Http://blaatski.nl

Mijn excuus dat ik niet gelijk meer reageerde
Maar ook ik heb wel eens weekend :)

Morgen ga ik er weer mee bezig en zal ik ook de logs
Tonen, reageer nu via de telefoon

Op het moment van een "ddos" wat trekt dan de meeste cpu? apache/php of mysql, en kijk ook eens met "vmstat 1" en plak de resultaten hier

Btw 60 bezoekers gelijktijdig online bij een forum zegt niks, dat is verdeelt meestal over 5 minuten of meer. Het aantal requesten per seconden gaat het over (en wat voor requesten).

Begin maar eens met een default install CSF

wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
csf -u

Begin maar eens met een default install CSF

wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
csf -u

Begin maar eens met de TS te lezen:


Beste WHT lezers

Momenteel heb ik een klant met een best wel goed lopend forum.

hij loopt zo goed dat ze telkens last hebben van een soort DDOS op poort 80.

Deze vps draait op Directadmin uiteraard heb ik csf geinstaleerd,
en heb ik de ssh poort veranderd en de poort van Directadmin.
Je weet maar nooit met die mensen natuurlijk.

Maar op 1 of andere manier blijft dan de httpd vol lopen met requests zodat de website niet meer te bereiken is.
Nu hebben we hem al laten lopen via cloudflare, en dat houdt ook al een hele boel tegen
maar het stopt gewoon weg niet wat ik ook probeer

Wat kan ik hier nou aan doen ?

By the way... default is CSF helemaal niet zo lekker ingesteld. Denk daarbij aan het in de console loggen en dergelijke.

atop installeren, tijd instellen op 1 minuut, herstarten, afwachten, op je gemak terugkijken wat er aan de hand was

Op het moment van een "ddos" wat trekt dan de meeste cpu? apache/php of mysql, en kijk ook eens met "vmstat 1" en plak de resultaten hier

Btw 60 bezoekers gelijktijdig online bij een forum zegt niks, dat is verdeelt meestal over 5 minuten of meer. Het aantal requesten per seconden gaat het over (en wat voor requesten).

Het is enkel apache wat er voor zorgt dat de website niet te bereiken is.
Ik kan wel gewoon in directadmin komen en als ik die slowloris mod wil instaleren geeft hij op de vps een fout dat hij geen httpd-devel kan vinden
en slowloris niet kan instaleren, wat uiteraard heel vreemd is, ik heb het op andere fisieke servers geprobeerd en daar werkte alles gelijk en zonder problemen !

Het is enkel apache wat er voor zorgt dat de website niet te bereiken is.
Ik kan wel gewoon in directadmin komen en als ik die slowloris mod wil instaleren geeft hij op de vps een fout dat hij geen httpd-devel kan vinden
en slowloris niet kan instaleren, wat uiteraard heel vreemd is, ik heb het op andere fisieke servers geprobeerd en daar werkte alles gelijk en zonder problemen !

Dan mist die de header files (zitten in het development package):

yum install httpd-devel

Momenteel heb ik een klant



Wat kan ik hier nou aan doen ?

Een systeembeheerder inhuren?

Kom op zeg, als het een klant betreft, dan ga je toch niet op zo'n manier aan het prutsen?

Nou het is niet bepaald een klant ik lever die dienst voor niks !
dus ga ik er zeker geen geld voor uitgeven !

@boyke dan zegt hij dat hij de package niet kan vinden !! dat had ik namelijk al lang geprobeerd

[root@srv1 admin]# yum install httpd-devel
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: ftp.nluug.nl
* extras: mirrors.supportex.net
* updates: ftp.nluug.nl
base | 1.1 kB 00:00
dag | 1.1 kB 00:00
extras | 2.1 kB 00:00
extras/primary_db | 154 kB 00:00
updates | 1.9 kB 00:00
Excluding Packages in global exclude list
Finished
Setting up Install Process
No package httpd-devel available.
Nothing to do

CentOS 6?

@boyke dan zegt hij dat hij de package niet kan vinden !! dat had ik namelijk al lang geprobeerd

Dan nog moet je het niet zo installeren op een DirectAdmin server aangezien die apache vanuit de custombuild doet, je wilt toch geen module maken met een andere development library die door CentOS geleverd wordt terwijl je custombuild van DA een andere versie gebruikt. Gewoon even in je ./configure het path van de custombuild apache source opgeven bij het maken van je module. Of via custombuild de development libs installeren op je systeem.

What about nginx? Ideaal als reverse proxy waarmee je heel veel troep kunt filteren.
Nginx als oplossing gebruikt voor een aantal klanten welke vaker poort 80 attacks te verwerken gekregen.

Kwestie van even googlen op nginx en reverse proxy - is veel informatie over te vinden. Vereist wel wat Linux kennis, maar in mijn ogen zeker de moeite waard als andere oplossingen niet meer werken.....

ik heb nu gebruik gemaakt van Dos Deflate, die gooit ze automatisch in de iptables na een x aantal connectie's binnen een aantal seconden

http://deflate.medialayer.com/

Zoals al vermeld had je dit ook al via CSF kunnen regelen.