Форум Сайтостроение Администрирование серверов

ddos / не ddos?

k0t
На сайте с 13.07.2008
Offline
99
k0t
1265

Жутко тормозят сайты на впс, такое ощущение что забит канал.

# top
top - 23:31:37 up 42 days, 27 min,  2 users,  load average: 1.11, 1.88, 1.78
Tasks:  30 total,   2 running,  28 sleeping,   0 stopped,   0 zombie
Cpu(s):  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:    409600k total,   151284k used,   258316k free,        0k buffers
Swap:        0k total,        0k used,        0k free,        0k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    1 root      18   0 10304  740  620 S  0.0  0.2   0:00.61 init
 7825 www-data  16   0  310m  17m 7780 S  0.0  4.4   0:00.12 apache2
11792 root      16   0 65920 3016 2396 S  0.0  0.7   0:00.03 sshd
11801 k0t       15   0 66056 1808 1160 R  0.0  0.4   0:00.38 sshd
13431 k0t       15   0 18040 2064 1272 S  0.0  0.5   0:00.00 bash
14301 root      15   0 31184 1136  892 S  0.0  0.3   0:00.00 su
15427 root      15   0 17552 1884 1324 S  0.0  0.5   0:00.07 bash
15842 root      16   0 65920 3020 2396 S  0.0  0.7   0:00.04 sshd
16042 k0t       15   0 66056 1808 1160 S  0.0  0.4   0:01.21 sshd
17503 k0t       15   0 18040 2064 1272 S  0.0  0.5   0:00.00 bash
17954 root      15   0 31184 1132  892 S  0.0  0.3   0:00.00 su
18054 root      15   0 17564 1900 1328 S  0.0  0.5   0:00.26 bash
18259 root      18   0  306m  16m 8940 S  0.0  4.1   0:00.11 apache2
19828 root      18   0 32712 1864  252 S  0.0  0.5   0:00.00 nginx
20433 www-data  17   0 33624 3260  816 S  0.0  0.8   0:02.11 nginx
21717 www-data  16   0  310m  20m  10m S  0.0  5.2   0:00.52 apache2
24231 root      15   0 18540  924  716 S  0.0  0.2   0:00.58 cron
28294 root      15   0  5896  672  520 S  0.0  0.2   0:01.92 syslogd
28309 www-data  16   0  318m  27m  12m S  0.0  6.9   0:01.16 apache2
28321 root      18   0 48856 1188  696 S  0.0  0.3   0:00.02 sshd
28372 root      25   0 17312 1440 1148 S  0.0  0.4   0:00.00 mysqld_safe
28418 mysql     15   0 77208  25m 5228 S  0.0  6.4   1:40.33 mysqld
28419 root      18   0  3772  596  504 S  0.0  0.1   0:00.00 logger
28493 nobody    18   0 21272 1432  696 S  0.0  0.3   0:00.04 memcached
28540 www-data  15   0  313m  19m 5004 S  0.0  4.9   0:00.05 apache2
28565 root      18   0 15720  856  676 S  0.0  0.2   0:00.00 xinetd
28581 root      18   0 48132 2400  868 S  0.0  0.6   0:04.04 sendmail-mta
30051 root      18   0 22128 2164 1380 S  0.0  0.5   0:00.01 tcpdump
30703 root      15   0 18816 1196  940 R  0.0  0.3   0:01.22 top
32124 www-data  16   0  313m  23m  12m S  0.0  5.8   0:01.08 apache2

# netstat -apnt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 ____________:1234       0.0.0.0:*               LISTEN      28321/sshd
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      28418/mysqld
tcp        0      0 127.0.0.1:587           0.0.0.0:*               LISTEN      28581/sendmail: MTA
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      28493/memcached
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      19828/nginx
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN      7825/apache2
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      28581/sendmail: MTA
tcp      161      0 ____________:80         208.80.194.34:36764     ESTABLISHED -
tcp      147      0 ____________:80         208.80.194.34:36768     ESTABLISHED -
tcp      241      0 ____________:80         66.249.72.168:46241     ESTABLISHED -
tcp        1      0 ____________:80         193.47.80.136:49146     CLOSE_WAIT  20433/nginx: worker
tcp      328      0 ____________:80         193.47.80.136:49151     CLOSE_WAIT  -
tcp      232      0 ____________:80         88.208.19.9:52271       ESTABLISHED -
tcp        1      0 ____________:80         77.66.221.29:51036      CLOSE_WAIT  20433/nginx: worker
tcp        0      0 ____________:1234       89.178.200.47:4664      ESTABLISHED 11792/sshd: k0t [pr
tcp        0      0 ____________:1234       89.178.200.47:3899      ESTABLISHED 15842/sshd: k0t [pr
tcp      508      0 ____________:80         74.67.231.134:49817     CLOSE_WAIT  -
tcp        1      0 ____________:80         95.135.81.58:1858       CLOSE_WAIT  20433/nginx: worker
tcp        1      0 ____________:80         95.135.81.58:1857       CLOSE_WAIT  20433/nginx: worker
tcp        1      0 ____________:80         95.135.81.58:1867       CLOSE_WAIT  20433/nginx: worker

# iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 2962 1858K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  *      *       212.113.37.106       0.0.0.0/0
    0     0 DROP       all  --  *      *       216.145.11.94        0.0.0.0/0
    0     0 DROP       all  --  *      *       216.145.14.142       0.0.0.0/0
    0     0 DROP       all  --  *      *       216.145.17.190       0.0.0.0/0
    0     0 DROP       all  --  *      *       216.145.5.42         0.0.0.0/0
    0     0 DROP       all  --  *      *       64.246.161.190       0.0.0.0/0
    0     0 DROP       all  --  *      *       64.246.161.30        0.0.0.0/0
    0     0 DROP       all  --  *      *       64.246.161.42        0.0.0.0/0
    0     0 DROP       all  --  *      *       64.246.165.0/24      0.0.0.0/0
    0     0 DROP       all  --  *      *       64.246.178.34        0.0.0.0/0
    0     0 DROP       all  --  *      *       64.246.187.42        0.0.0.0/0
    0     0 DROP       all  --  *      *       77.232.152.0/22      0.0.0.0/0
    0     0 DROP       all  --  *      *       75.101.128.0/17      0.0.0.0/0
    0     0 DROP       all  --  *      *       85.26.184.0/22       0.0.0.0/0
  181  103K DROP       all  --  *      *       218.248.0.0/16       0.0.0.0/0
  252 12096 DROP       all  --  *      *       65.52.0.0/14         0.0.0.0/0
    0     0 DROP       all  --  *      *       188.228.33.128/25    0.0.0.0/0
13912 1253K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 21,80,1234,5190
    1    40 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
  712  650K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  829 43900 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 1/sec burst 5
    7   352 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04 limit: avg 1/sec burst 5
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 4
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 11
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 12
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 14
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 16
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 18

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 23599 packets, 18M bytes)
 pkts bytes target     prot opt in     out     source               destination

Логи апача и энджиникса стандартные, т.е. как и в обычные дни.

Что это может быть?

txt tcpdump.txt
[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#1

Попробуйте на неё (впс-ку) скачать какой-нибудь файлик wget-ом (или fetch-ем), и посмотрите на скорость.

Потом обращайтесь в службу поддержки :)

Лог в помощь!
Den73
На сайте с 26.06.2010
Offline
523
Den73
#2

Если бы вас атаковали вы бы наврятли в ssh попали не говоря уже о сайтах.

тормоза как давно появились или так было всегда? возможно соседи/бэкапы, сеть и т.д

k0t
На сайте с 13.07.2008
Offline
99
k0t
#3
'[umka:
;8540791']Попробуйте на неё (впс-ку) скачать какой-нибудь файлик wget-ом (или fetch-ем), и посмотрите на скорость.
Потом обращайтесь в службу поддержки :)

Первый раз дернул файл вгетом 13,567,055 1018K/s in 67s, при этом все висело и 0.0%wa скаканул до 70%, сразу второй раз 13,567,055 2.30M/s in 7.0s.

Den73:
Если бы вас атаковали вы бы наврятли в ssh попали не говоря уже о сайтах.

тормоза как давно появились или так было всегда? возможно соседи/бэкапы, сеть и т.д

Только сегодня. По поводу соседей, тут хз, ваствпс врятли оверсел практикует.

Может еще вывод каких команд показать для ясности?

App Annie: Clubhouse за Яндекс.Деньги: Россияне предпочитают электронные Криптовалюта стала самой дорогой
Den73
На сайте с 26.06.2010
Offline
523
Den73
#4

k0t

Есть смысл переждать, думаю действительно "соседи/бэкапы" т.к в top-е у вас не чего аномального нету.

"врятли оверсел практикует" - оверсел есть всегда, просто есть грань которую не нужно переступать она зависит от совести админа/хостера.

Как Google сканирует страницы Google: показать важность страниц Практика анализа KPI интернет-магазина
J
На сайте с 05.05.2009
Offline
19
jammer
#5

а кто хостер если не секрет? у меня сегодня аналогичная ситуация.

Den73
На сайте с 26.06.2010
Offline
523
Den73
#6
jammer:
а кто хостер если не секрет? у меня сегодня аналогичная ситуация.

тс как бы писал кто хостер.

J
На сайте с 05.05.2009
Offline
19
jammer
#7
Den73:
тс как бы писал кто хостер.

не заметил сразу.

сегодня заработало?

H1HOST
На сайте с 17.02.2011
Offline
23
H1HOST
#8

Проблем с задержками нет. 1мс .

[ATTACH]84704[/ATTACH]

В дальнейшей для удобства анализа добавьте параметры в tcpdump -s 0 и -w "название файла". Чтобы скормить дамп wireshark и удобно искать сегменты.

Если сервер тормозит, то либо организована атака на какой-либо сервис - мы этого в дампах не видим.

Либо загружен сам сервер где расположен VPS. В TOPe мы видим, что загрузка нормальная.

txt dump_kot.txt
С уважением, Компания Н1 h1host.ru
Очень выгодная партнерка по Чего бы такого состряпать? Дата-центр в Москве: размещение
H1HOST
На сайте с 17.02.2011
Offline
23
H1HOST
#9

В принципе, можете взять тестовый сервис VPS у кого-нибудь и посмотреть, как будет работать .

При анализе любых проблем, а особенно плавающих нужно функционал максимально дублировать где-нибудь ещё.

У нас например :)

Megaindex обновил свой бар В Дзене появились сохраненные MegaIndex начинает beta-тестирование новой

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий