Здравствуйте, ситуация очень странная. Ддосят мой сервер, я сидел смотрел netstat/htop, по нагрузке в Htop всё нормально и в netstat'e нет лишних процессов, но самое забавное то, что нереально лагает терминал и всё качается очень долго. Как я понимаю мне забивают чем-то интернет канал? Хостер заблокировал мой VPS написав следующее:
We are contacting you because, right now, your server is the target of an extremely large network attack. This attack has been detected and mitigated by our network to ensure the availability of your server.
И потом дописали что вынуждены были отключить айпи адрес моего сервера. Что мне делать? Как только включают айпи то всё, через 2-3 минуты сервер падает, но до этого когда не так мощно атаковали, htop и прочие не были забиты, то есть ресурсов хватало. Как я предполагаю, забивают интернет-канал. Какие есть варианты решения данной проблемы? Смена хостера? И как я понимаю раз настолько мощная атака, то долбят напрямую по IP-адресу?
Я не заметил ни одной аномалии в конфигах php-fpm/nginx/mariadb, но хочу заметить что когда атака была послабее php-fpm поругался на то что ему не хватает ps.max_children, я увеличил и ошибка пропала.
Во время атаки также смотрел access.log, но подозрительных GET запросов найдено не было, также сидел с Iptables и банил пару SYN пакетов, на сервере, судя по ним долбили 22 порт как раз SSH протокола, но после бана ипов и перезагрузки iptables - это не помогло. Также пытался смотреть tcpdump'ом, левых айпишников найдено не было, htop ресурсов ещё с головой хватает. Сайт стоит за cloudflare / nginx+php-fpm.
Характеристики сервера:
OC - CentsOS 7
8 ГБ Оперативы, 4 ядра, 200 GB SSD, 200 Mbit/s port
UNLIMITED Traffic
Атака длится уже более 24 часов.
Простой
Простой
Простой
