Onderwerp: Aanval op mijn server?

Apache is al een keer of wat gecrashed in het afgelopen uur.

Zag dat maxclients overschreden werd, heb deze geincreased van 150 naar 250.

Zie nu op de "Apache Server Status" (Met extendedstatus on) dat het helemaal volloopt met R-processes, oftewel "Reading".

RWRRRRRRRCRRRCRRRRWRRRRRCRRRRRRRRRRRRWRCRRRRWRWRRR RRRRRCRRRRRRRR
RRRRRRRRRRRRRRRRRRRRRRRRRRRRWRRRRRRRRRRRRRRRRRRRRR RRRRRRRRRRRRRR
RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR RRRRRRRRRRRRRR
RRRRRRRRRRRRRRRRRRWRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR RRRRRRRR......

Van deze reading-processes staat de client en vhost niet vermeld, staan ?

Ik denk een (D)DoS, wat denken jullie en wat doe ik er aan? Alle tips zijn welkom... mod_dosevasive helpt niet echt in elk geval, krijg wel af en toe een blacklist ervan door maar hij blijft bezig dus komt denk ik niet van 1 IP af.

doe es vanuit shell (als root) netstat -n
Dit moet een hele lijst ip adressen opleveren waarbij je moet letten op de tabel Foreign Address, als je bv 100 keer t zelfde ip adres ziet staan bij Foreign Address is het een httpd dos, verschillen alle ip's bij Foreign Address van mekaar dan heb je met een httpd ddos te maken.

Het eerste geval kun je in je firewall zetten en dan is het over, een ddos wordt al wat lastiger.
Probeer door middel van logs te achterhalen wat opgevraagd wordt, dit kan door enkel die reading status idd lastig worden.. zodra je weet wat het is en het is name-based (vaak zo bij httpd ddos) dan kun je de ns records redirecten naar een andere plek bijvoorbeeld.

Helaas zie ik niet 100x hetzelfde, heb sommige IP-adressen wel meer dan 50x gevonden en ook in de firewall gezet.

Probleem is echter vaak dat je niet het hele IP-adres ziet, er staat :ffff: voor en dan kun je de laatste cijfers niet volledig zien

Ik heb de ping uitgezet nu en geloof dat dat helpt.

Als je geen Frontpage extenties gebruikt op die server, kan je eens mod_evasive proberen voor je apache.