Вы должны войти в систему для того, чтобы создавать сообщения и темы.

DDOS. Определение атакующего и его блокировка (VestaCP)

В общем у меня тут один сайтик сейчас ддосят - опишу как это происходит вообще.

Как выглядят признаки DDOS на графике (в панели сервера):

Форум

Чтобы обрабатывать запросы - серверу нужно выделять память, поэтому вы видите такие "горы" на графике. К пику когда подбирается - сервер автоматом делает релоад и память очищается (этим занимается программа Monit, которая установлена на сервере).

Статистика сети:

Форум2 дня уже ддосит, че-то ищет... упорный) вот так это выглядит на недельном:

Форум

Что делать?

Если на сервере несколько сайтов - определяем на какой идет трафик, смотрим статистику по трафику - где значения больше обычного, скорее всего тот и DDOS-ят.

Определили - идем смотреть логи:

Форум

 

Сам лог (access.log):

Форум

В моем случае, лог даже полностью не загрузился, потому что размер большой (больше 70 мб). Но даже на этом логе видно, что с 1 айпи по разным адресам шарит и за 1 секунду по 2-3 запроса обрабатывает.

На логе - сначала IP (120.79.224.28) -- [дата-время посещения] - запрос (GET) - код ответа (404) - размер отданых байт (20532) - User-Agent (инфо о браузере или приложении которое отправляет запрос).

В общем IP мы определили - 120.79.224.28

Идем его банить (запретить доступ):

Форум

Форум

 

Форум

 

 

 

После добавления злоумышленника в черный список:

Форум