Посоветуйте какой файревол поставить на сервер, на сервере висит несколько сайтов со слабым посещением и астериск, все работало 4 года, а в последнее время сервер упал, хостер отключил его за превышение нагрузки. Думаю кто-то ломится на сервер, посоветуйте простое решение, так как я не очень продвинутый пользователь в Линуксе.
TП не многословна: "We have suspended your VPS for causing a high load on the server. I am currently looking into this further and will update you shortly."
fedorchuk: С CSF не сталкивался. Судя по описанию имеет гибкую систему настроек и работает с панелями управления хостингом. По сути дополнение к iptables.
Firewall - это защита уже на сервере. То есть пакеты пришли к тебе на VDS и уже там ты разбираешься, надо оно тебе или нет.
Хостер отключает, если нагрузка идет на канал до сервера. А фильтровать канал ДО сервера ты не сможешь никак - тебе просто не дадут доступа к оборудованию дата центра.
Какие есть решения в данной ситуации:
- Определить DDoS ли это или нормальная нагрузка.
Может быть проект вырос и пора переехать на Dedicated? Там и канал толще и запаса больше.
- Если это все же DDoS, уточняем у хостера есть ли у них в партнерах какая-нибудь фирма по защите от DDoS, обычно можно получить скидку. После этого В НАЧАЛЕ переносим сайты на другой VDS, говорим IP фирме по защите от DDoS и меняем записи в DNS как они скажут. Это нужно, чтобы атакующие не узнали наш новый IP.
Проекты точно не выросли.
Ddosить сайт городского клуба любителей кошек смысла нет, грешу на астериск, возможно китайцы или кто-то просто долбит с переборами паролей.
Хостер помочь особо ни чем помочь не сможет, небольшой буржуинский... На самом деле я не знаю, что с сервером, в какой то момент упал, они возились перезапускали апаче, нетворк и т.д. Я предположил, что может кто-то долбит, они ухватились за идею, мол, да скорее всего, настраивай firewall..
fedorchuk: Если подозреваешь такое - то да, нужен firewall
Просто в iptables запрещаешь все порты, кроме 80, 443 и портов Aterisk (увы, не знаю какие порты использует). Переносишь SSH на какой-нибудь далекий порт (30000+) и пусть висит себе там.
Запрет логина по SSH по паролю и запрет на логин под рутом. Так же стоит посмотреть на fail2ban.
IP будут в логе - access.log апача, или access.log сайта, точнее не скажу - смотри настройки апача.
По атакуемому сайту - можно попробовать использовать apachetop или сделать запуск php через fast-cgi, причем для каждого сайта запускать fast-cgi от отдельного пользователя.
Тогда по нагрузке будет видно проблемный сайт.
спасибо. Разобрался. кто-то из Чили долбил с одного IP. Заблокировал. Все наладилось, наверное школьник какой-то)) Этот ip уже в базах засветился.
Nginx не стоит.
Простой
