- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый вечер, прошу Гуру помочь советом.
Что может быть, в Direct Admin вижу 60 открытых процесов, в норме всю жизнь было 7-8.
proftpd proftpd (pid 90695 90694 90693 90692 90691 90690 90689 90688 90687 90686 90685 90684 90683 90682 90681 90680 90679 90678 90677 90676 90675 90674 90673 90672 90671 90670 90669 90668 90667 90666 90665 90664 90663 90662 90661 90660 90659 90658 90657 90656 90655 90654 90653 90652 90651 90650 90649 90648 90647 90646 90645 90644 90643 90642 90641 90640 90639 90638 90637 90636 90635 90634 90632 90631 )
Нагрузка la шпарит 70.
Сервер работал без сбоев более полугода. и тут такое.
Спасибо.
1. посмотреть логи, обычно в
/var/log/proftpd/
2. netstat -natup | grep ftp
покажет число коннектов по фтп
можно еще так поглядеть
ps waux | grep ftp
Проверьте обновлён ли proftpd до последней версии (1.3.3c), в прошлых версиях была уязвимость, возможно это её как раз юзаютю
команда ftpwho показывает чем занят конкретный процесс и даже сколько процентов файла скачалось.
Парни, спасибо за советы и отзывчивость.
Посмотрели логи /var/log/proftpd/access.log
Судя по этому файлу эти подключения были с одного IP адреса 81.169.175.199.
Владелец этого ip, если я правильно понимаю, брутфорсил ftp пасс к одному из акков.
В логах Direct Admin
ProFTPd [13929] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT: */*" 500
ProFTPd [13929] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-LANGUAGE: en-us" 500
ProFTPd [13929] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-ENCODING: gzip, deflate" 500
ProFTPd [13929] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "USER-AGENT: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 500
ProFTPd [13929] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "CONNECTION: Close" 500
ProFTPd [13932] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "GET /quit HTTP/1.1" 500
ProFTPd [13932] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT: */*" 500
ProFTPd [13933] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "GET /quit HTTP/1.1" 500
ProFTPd [13933] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT: */*" 500
ProFTPd [13933] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-LANGUAGE: en-us" 500
ProFTPd [13935] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "GET /quit HTTP/1.1" 500
ProFTPd [13933] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-ENCODING: gzip, deflate" 500
ProFTPd [13935] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT: */*" 500
ProFTPd [13933] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "USER-AGENT: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 500
ProFTPd [13934] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "GET /quit HTTP/1.1" 500
ProFTPd [13932] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-LANGUAGE: en-us" 500
ProFTPd [13934] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT: */*" 500
ProFTPd [13933] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "CONNECTION: Close" 500
ProFTPd [13932] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-ENCODING: gzip, deflate" 500
ProFTPd [13934] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-LANGUAGE: en-us" 500
ProFTPd [13934] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-ENCODING: gzip, deflate" 500
ProFTPd [13935] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-LANGUAGE: en-us" 500
ProFTPd [13935] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-ENCODING: gzip, deflate" 500
ProFTPd [13935] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "USER-AGENT: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 500
ProFTPd [13935] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "HOST: 213.155.26.98" 500
ProFTPd [13935] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "CONNECTION: Close" 500
ProFTPd [13932] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "USER-AGENT: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 500
ProFTPd [13932] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "CONNECTION: Close" 500
ProFTPd [13931] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "GET /quit HTTP/1.1" 500
ProFTPd [13931] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT: */*" 500
ProFTPd [13931] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-LANGUAGE: en-us" 500
ProFTPd [13931] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "ACCEPT-ENCODING: gzip, deflate" 500
ProFTPd [13931] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "USER-AGENT: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 500
ProFTPd [13936] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "GET /quit HTTP/1.1" 500
ProFTPd [13931] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "HOST: 213.155.26.99" 500
ProFTPd [13934] ::ffff:81.169.175.199 [10/Nov/2010:18:24:48 +0200] "USER-AGENT: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 500
.......
Пока просто забанил ipfw умника по диапазону ДЦ. Завтра займусь проверкой версий proftpd, как советовал bb-support.
Еще раз всем спасибо за помощь!
Еще посоветую закрыть возможность бутфорса, ограничив число коннектов с одного ip
Владелец этого ip, если я правильно понимаю, брутфорсил ftp пасс к одному из акков.
Нет, это использование какого-то HTTP-флудера не по назначению для атаки на FTP. Без разницы, что использовать для создания нагрузки.
Совет ограничить число подключений с одного IP довольно разумный.
Совет ограничить число подключений с одного IP довольно разумный.
Спасибо за совет, а посредством чего этого оргнизовывается?
директивой MaxClientsPerHost похоже.
брутфорсят конечно же. причем походу коннекшны не закрываются нормально, вот и висит процесс proftpd до таймаута. Еще бы очень хорошо отключить резолв ип в имена, снижает загрузку
fail2ban настройте и всё