Ich habe ein VPS mit Ubuntu. Ich habe eine kleine Website (ca. 10 Besucher gleichzeitig). Manchmal gerät die Website in Verzug. Es ist so schlecht, dass auch meine SSH-Verbindung nachlässt. Laufen topsagt, dass 2 Instanzen von apache2jeweils 50% CPU beanspruchen.
Ich gehe davon aus, dass dies ein DoSAngriff ist. Ich habe ein paar iptablesSkripte durch Kopieren und Einfügen installiert, die einen Sinn ergeben, aber das hat nicht geholfen.
Ich habe es installiert libapache2-mod-evasive- ich bin sicher, dass es den Angreifer blockiert, aber ich bin immer noch im Rückstand.
Was kann ich machen? Kann ich zumindest die IP des Angreifers finden?
Ich habe große Erfahrung mit Linux, aber fast keine Erfahrung als Serveradministrator.
Überprüfen Sie das Apache-Zugriffsprotokoll auf wiederholte Versuche mit einer ähnlichen IP-Adresse. Dies /var/log/httpd/access_logist der übliche Speicherort.
Möglicherweise interessieren Sie sich auch für eine automatisierte Lösung wie DDoS Deflate oder PSAD . Ich würde mod_security auch dringend für Apache empfehlen .
Haben Sie Apache oder Ihr Betriebssystem gehärtet?
Können Sie Protokolle veröffentlichen?
Das kann ein bisschen helfen.
Ich kann nicht genug Fail2ban vorschlagen. Es ist ein Daemon, der im Hintergrund ausgeführt wird und alle Ihre Protokolldateien auf verdächtige Aktivitäten überwacht und die verdächtigen Aktivitäten basierend auf den Protokolldateifehlern blockiert. Dies bedeutet, dass Sie die Fehlerprotokolldateien zuerst erstellen müssen. Für Webserver können Sie dies normalerweise tun. Ich habe es erst kürzlich für NGINX gemacht, aber ich bin sicher, dass es eine ähnliche Direktive für Apache gibt.