Jump to content

Recommended Posts

Salve a tutti,

ho un server dedicato su Aruba (offerta Basic 1.1) configurato con Plesk 9.3 e CentOS 5.

 

Tutto funziona perfettamente da circa 70 giorni.

 

Il 20 e 21 marzo il server si è riavviato in modo inaspettato, ovvero senza che io abbia fatto nessuna richiesta esplicita di riavvio.

 

Siccome sono registrato ad un servizio di uptime mi sono arrivate le mail di avviso che il server è stato down per pochi minuti (giusto il tempo del riavvio) e poi è ritornato tutto normale.

 

Ovviamente ho chiesto ad Aruba se fosse dipeso da loro, ma hanno confermato che è tutto OK e mi hanno suggerito di verificare i log.

 

Io ho verificato tutti i log possibili e non c'è traccia di nessun tipo di intrusione o di violazione di sicurezza

 

Allora ho pensato ad un attacco DOS o similare, e ho provveduto a filtrare una serie di IP sospetti...

 

Ma in tutta franchezza non so spiegarmi con certezza le cause del riavvio improvviso, secondo voi è plausibile che un attacco DOS riavvii automaticamente il server?

 

Potete darmi qualche "dritta" o "parere" in merito?

 

Grazie

Share this post


Link to post
Share on other sites

Ciao,

 

in genere si tratta di problemi hardware o, più semplicemente, qualcuno ha inciampato sul cavo di alimentazione... :stordita:

 

Sicuro comunque che siano stati due riavii e non due piccoli down di connettività?

Share this post


Link to post
Share on other sites

si perchè in tutte e 2 le occasioni mi hanno confermato che la macchina era alla login o in fase di riavvio come da lei richeisto :cartello_lol:

 

A parte che non avevo richiesto niente cmq la mia preoccupazione e che ci sia qualche attacco in corso...

Share this post


Link to post
Share on other sites

allora prima ho dato uno sguardo a tappeto su tutti i log in /var/log/

 

Ho guardato i carichi tramite logwatch e non c'era nulla di sorprendente CPU,RAM nella media forse un piccolo picco in più ma niente di così allarmante.

 

Poi ho guardato i vari access_log ed error_log dei vari domini incrociando data e ora dei down sono arrivato a una serie di IP che ritengo sospetti, questi ip in un giorno hanno fatto 2097 richieste mi sembra un pò eccessivo o no?

 

L'user agent era ambiguo (mozilla 3.0) e basta senza sistema operativo ecc..

 

IP era sempre una serie del tipo 151.61.53.6, 151.61.53.190, 151.61.53.186

 

Le richieste erano simili ad una scansione totale dei domini tra le varie cartelle.

 

So che non è molto ma è l'unica cosa sospetta che ho trovato e quindi li ho filtrati.

Share this post


Link to post
Share on other sites

in caso di ddos il server dovrebbe al massimo frizzare bloccandosi del tutto per esaurimento risorse e non riavviarsi.

 

prova ad installare dei tool di monitoraggio tipo munin per tenere sott'occhio apache mysql cpu disk i/o ecc ecc in modo da avere maggiori informazioni

Share this post


Link to post
Share on other sites
Come e perchè un attacco potrebbe riavviarti il server?

 

Scusa Uno non avevo vista la tua risposta...

 

Infatti mi sembra strano solo che non trovo nessuna spiegazione logica di questi riavvii.

 

Allora ho pensato ad un possibile attacco, tu lo escludi categoricamente?

Share this post


Link to post
Share on other sites

@EvolutionCrazy

non è andata proprio così... Nella prima occasione il 20 marzo il server era completamente giù allora ho richiesto un riavvio in attesa che mi rispondesse l'assistenza. Loro probabilmente si sono confusi, si parla di 2 riavvii di cui 1 è stato "automatico" e l'altro l'ho richiesto Io (ma era completamente inutile la mia richiesta visto che era già in riavvio per i fatti suoi ecco perché era off-line).

 

Poi il 21 marzo è successa la stessa cosa e prima di fare qualsiasi cosa ho chiesto all'assistenza e loro mi hanno detto che era in fase di riavvio, ovviamente ho specificato che non l'avevo richiesto ne la prima ne la seconda volta.

 

La loro risposta è stata di controllare i log per verificare cosa sia successo.

 

Ripeto nei log non ho trovato nulla di rilevante a parte qualche ip sospetto in access_log, ma questi volendo li puoi trovare tutti i giorni tra spambot e bad request.

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×