У кого сервера, свежий список этого ботнета в файл ips можно получить такой командой:
Если у вас расширенный лог с доменами то нужно использовать $2.
Чтобы убедиться что данная команда находит только ботов, можно проверить вывод соответствующих логов этой командой:
Далее этот список можно добавить в фаервол для блокировки, либо заблокировать всё через
iptables -A INPUT -s 1.1.1.1 -j DROP
Но учтите что боты это обычные пользователи и у многих IP динамические, так что блокировать только пока не закончится атака.
А сервера где 3.2.0, нагружены сильно? (в плане CPU)
Вы сейчас изъяснились на для меня не понятном языке :)
Это где такое подкрутить можно? в Биосе?
Какая у Вас ОС? Просто проблема касается кернеля 3+ и новых процессоров, например у меня с debian 7, кернель 3.2. Не уверен что подкрутить поможет, так как это вероятнее всего баг кернеля (хетцнеры подтвердили)
Выбирайте хостинги получше. Ерунда на самом деле, атака блокируется легко более менее грамотным сисадмином, после этого сервера не видят никакой нагрузки. Очень интересно что будет происходить со взломанными сайтами ... может подсунуть ботам WP с паролем 123123 :) Но думаю сейчас пока идёт набор доступов, а заливка удалённых шелов начнётся позже, конечно если такая возможность имеется через WP.
Подождите, щас наломают аккаунтов, и будет у них ботнет из 10тыс дедиков, гигабитных в том числе.
А мы станем соучастниками атак.
У нас проблема решена кардинально с помощью динамического интеллектуального фаервола, ничего больше не тревожит - рабочий LA < 3, до этого иногда возникала ошибка в скрипте фаервола при DROP и сервера были подгружены, в блоке сейчас порядка 7к на каждом сервере.
Интересный момент. Попался один клиент который написал что его заблокировал фаервол, проверили логи, а заблокирован то за дело! Брут от него шёл на все сервера. Так что товарищи, наши же клиенты сами же и брутят все наши сервера и свой в том числе :D
троттлинг у меня был пару раз, поставили второй кулер и пасту поменяли, пропал ...
Правда температура всегда была до 80 градусов, если не ошибаюсь троттлинг включаться должен при 100.
Сейчас в принципе ничего больше не беспокоит кроме выброса таких логов 4-5 раз в день, по 20 строк вида:
Den73, спс, не сообразил.
Flantru, не подскажите каким образом?
rewrite в nginx указывается только тут:
server
location
if
А мне нужно в отделе http {}.
Или у вас просто один server {} на весь nginx?
С зависание с тех пор всё ок, но мучает высып ошибок
power limit... выкладывал уже раз 5 за последние дни)
Которые кстати включают щадящий режим CPU и понижают производительность если я правильно понял..
