Проблема з сервером

[kisil]

Доброго дня. Прошу вашої допомоги.
Є налаштований на Слаці сервак який роздає нет на 200 машин . На серваку піднято сквід, бінд, сквідгуард. Останні декілька днів почалися з серваком проблеми.
сквід почав глючити. Але помітив , що з серваком також не все гаразд. Дуже просте спостереження коли в консолі нибираю mc командер довго запускається. На ньому розшарена самбова шара до неї достукатися також проблематично.
Я помітив що останім часом почав щей видавати помилки демон миші gpm/
Інет ADSL
Підкажіть до чого дивитися.

Я тут полазив і почитав можливо це була DOS-атака на сервак.
Як взнати що на сервак пройшла дос-атака

  

[Volodymyrko]

Інет ADSL

то у вас ІР-шка напевно динамічна якщо так і ІР   міняється при переватжаення модему- то не думає шо це дос (чи ддос) ... ( звідки ж знати яку ІР "досити" )...

Як взнати що на сервак пройшла дос-атака

а як визначити ? -  та хоча б подивитися що відбуваються на зовнішньому інтерфейсі... при цьому відключити доступ  в інтернет з локалки ( щоб розрізнити трафік на зовнішньому інтерфейсі ... чи це відповіді на ваші (тобто вашої локалки) запити чи саме запити ззовні до вашого серверу  - я думаю ви розумієте)
якщо там багато "лівого" трафіку .. а тим більше дуже багато різних ІР-шок.. та ше й на один й той самий порт ; або просто канал забитий не "вашим" трафіком  - тоді можна вважати що це дос

[Volodymyrko]

Інет ADSL

то у вас ІР-шка напевно динамічна якщо так і ІР   міняється при переватжаення модему- то не думає шо це дос (чи ддос) ... ( звідки ж знати яку ІР "досити" )...

Як взнати що на сервак пройшла дос-атака

а як визначити ? -  та хоча б подивитися що відбуваються на зовнішньому інтерфейсі... при цьому відключити доступ  в інтернет з локалки ( щоб розрізнити трафік на зовнішньому інтерфейсі ... чи це відповіді на ваші (тобто вашої локалки) запити чи саме запити ззовні до вашого серверу  - я думаю ви розумієте)
якщо там багато "лівого" трафіку .. а тим більше дуже багато різних ІР-шок.. та ше й на один й той самий порт ; або просто канал забитий не "вашим" трафіком  - тоді можна вважати що це дос

переглянбте логи на предмет якихось помилок, повідомлень нестандартних ..

[kisil]

Дякую за відповідь. Одне що було підозрілим це те, що до мене на сервак пробували підконектитися через ssh2. Ноя закрив доступ до ssh2 root-а а сьогодні взагалі його спинив і сервак відвис. Це було напевне в цьому проблема.
В кого які думки. :-?

[Volodymyrko]

що до мене на сервак пробували підконектитися через ssh2

спроби підєдантися по ssh  постійно відбувається до кожного серверу, що підєднаний до інтернету... так що тут немає нічого дивного...
просто треба вжити міри безпеки....
а скільки взагалі було спроб...  декілька чи дуже-дуже багато ...

може у вас апаратні проблеми з залізом ... перевірте память.. диск і т.д.

[kisil]

що до мене на сервак пробували підконектитися через ssh2

спроби підєдантися по ssh  постійно відбувається до кожного серверу, що підєднаний до інтернету... так що тут немає нічого дивного...
просто треба вжити міри безпеки....
а скільки взагалі було спроб...  декілька чи дуже-дуже багато ...

може у вас апаратні проблеми з залізом ... перевірте память.. диск і т.д.

Спроб підконектитись по ssh було багато, коли спинив демон взагалі сервак перестав висіти.
В логах ось що ще замітив

Dec 28 08:08:58 rm-proxy kernel: nf_conntrack version 0.5.0 (14336 buckets, 57344 max)
Dec 28 08:08:58 rm-proxy kernel: CONFIG_NF_CT_ACCT is deprecated and will be removed soon. Plase use
Dec 28 08:08:58 rm-proxy kernel: nf_conntrack.acct=1 kernel paramater, acct=1 nf_conntrack module option or
Dec 28 08:08:58 rm-proxy kernel: sysctl net.netfilter.nf_conntrack_acct=1 to enable it.

Це вискакує завжди коли перегружати сервак. До чого б це. Погугливши трохи я можу сказати що це проблеми із правилами iptables. Чи правильно я думаю.

І ще один раз була ось така помилка, поясніть що це таке

Dec 27 12:32:03 rm-proxy kernel: ------------[ cut here ]------------
Dec 27 12:32:03 rm-proxy kernel: WARNING: at net/sched/sch_generic.c:219 dev_watchdog+0x1c8/0x1e0()
Dec 27 12:32:03 rm-proxy kernel: Modules linked in: ipt_MASQUERADE iptable_nat nf_nat ipt_REJECT nf_conntrack_ipv4 xt_state nf_conntrack xt_tcpudp iptable_filter ip_tables x_tables bsd_comp ppp_synctty ppp_async crc_ccitt ppp_generic slhc snd_seq_dummy snd_seq_oss snd_seq_midi_event snd_seq snd_seq_device snd_pcm_oss snd_mixer_oss ipv6 nls_koi8_r nls_cp1251 nls_cp866 lp fuse nvidia(P) snd_hda_intel snd_pcm snd_timer i2c_nforce2 agpgart snd_page_alloc snd_hwdep snd soundcore forcedeth 8139too mii thermal k8temp processor ppdev parport_pc thermal_sys button parport hwmon psmouse serio_raw evdev sg
Dec 27 12:32:03 rm-proxy kernel: Pid: 0, comm: swapper Tainted: P          2.6.27.7-smp #2
Dec 27 12:32:03 rm-proxy kernel:  [<c0125c18>] warn_slowpath+0x68/0x80
Dec 27 12:32:03 rm-proxy kernel:  [<c06b4fbf>] ? ip_local_deliver_finish+0x9f/0x1f0
Dec 27 12:32:03 rm-proxy kernel:  [<c06b54c2>] ? ip_local_deliver+0x32/0xa0
Dec 27 12:32:03 rm-proxy kernel:  [<c06b4f20>] ? ip_local_deliver_finish+0x0/0x1f0
Dec 27 12:32:03 rm-proxy kernel:  [<c06b4cee>] ? ip_rcv_finish+0x11e/0x350
Dec 27 12:32:03 rm-proxy kernel:  [<c06aecb0>] ? nf_hook_slow+0x90/0xc0
Dec 27 12:32:03 rm-proxy kernel:  [<c011db08>] ? __enqueue_entity+0xb8/0xe0
Dec 27 12:32:03 rm-proxy kernel:  [<c011dbcd>] ? enqueue_task_fair+0x9d/0xb0
Dec 27 12:32:03 rm-proxy kernel:  [<c03a58d9>] ? strlen+0x9/0x20
Dec 27 12:32:03 rm-proxy kernel:  [<c03a39bd>] ? strlcpy+0x1d/0x60
Dec 27 12:32:03 rm-proxy kernel:  [<c06a4b88>] dev_watchdog+0x1c8/0x1e0
Dec 27 12:32:03 rm-proxy kernel:  [<f90492b1>] ? __nf_ct_ext_destroy+0x41/0x60 [nf_conntrack]
Dec 27 12:32:03 rm-proxy kernel:  [<f9044aec>] ? nf_conntrack_free+0x2c/0x30 [nf_conntrack]
Dec 27 12:32:03 rm-proxy kernel:  [<f904578a>] ? destroy_conntrack+0x9a/0xc0 [nf_conntrack]
Dec 27 12:32:03 rm-proxy kernel:  [<c06aec14>] ? nf_conntrack_destroy+0x14/0x20
Dec 27 12:32:03 rm-proxy kernel:  [<c012ea78>] run_timer_softirq+0x128/0x190
Dec 27 12:32:03 rm-proxy kernel:  [<c01237bc>] ? scheduler_tick+0xac/0xd0
Dec 27 12:32:03 rm-proxy kernel:  [<c06a49c0>] ? dev_watchdog+0x0/0x1e0
Dec 27 12:32:03 rm-proxy kernel:  [<c012a9f2>] __do_softirq+0x82/0xf0
Dec 27 12:32:03 rm-proxy kernel:  [<c012aaa5>] do_softirq+0x45/0x50
Dec 27 12:32:03 rm-proxy kernel:  [<c012ae25>] irq_exit+0x45/0x50
Dec 27 12:32:03 rm-proxy kernel:  [<c0112a50>] smp_apic_timer_interrupt+0x60/0x90
Dec 27 12:32:03 rm-proxy kernel:  [<c0103cac>] apic_timer_interrupt+0x28/0x30
Dec 27 12:32:03 rm-proxy kernel:  [<c0109b68>] ? default_idle+0x38/0x50
Dec 27 12:32:03 rm-proxy kernel:  [<c0109da5>] c1e_idle+0xb5/0x100
Dec 27 12:32:03 rm-proxy kernel:  [<c0151c28>] ? __rcu_pending+0x8/0x50
Dec 27 12:32:03 rm-proxy kernel:  [<c0151cb1>] ? rcu_pending+0x41/0x50
Dec 27 12:32:03 rm-proxy kernel:  [<c0101c7a>] cpu_idle+0x5a/0xf0
Dec 27 12:32:03 rm-proxy kernel:  [<c0714413>] rest_init+0x53/0x60
Dec 27 12:32:03 rm-proxy kernel:  =======================
Dec 27 12:32:03 rm-proxy kernel: ---[ end trace d0c21eba6eba02ce ]---

Буду дуже вдячний

     :-?

[Pablo]

Втикну свої 5 копійок:) Захистив сервер від ДДоСу такими правилами:

Код: [Вибрати]

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ssh_def

...

iptables -A ssh_def -m state --state NEW -m recent --rcheck \
        --name ssh_tryes --seconds 300 --hitcount 3 -j ssh_log
iptables -A ssh_def -m state --state NEW -m recent --update \
      --name ssh_tryes --seconds 300 --hitcount 3 -j REJECT
iptables -A ssh_def -m state --state NEW -m recent --name ssh_tryes --set
iptables -A ssh_def -j ACCEPT

iptables -A ssh_log -m recent --name ssh_loged \
      --rcheck ! --seconds 300 -j RETURN
iptables -A ssh_log -j LOG --log-prefix "SSH brute: "
iptables -A ssh_log -m recent --name ssh_loged --set
iptables -A ssh_log -j RETURN
Це не дає підключатись більше трьох разів за 5 хвилин, і пише в syslog хто пробував це зробити.

[kisil]

Спасибі Pablo