Dấu hiệu bề ngoài của cuộc tấn công DDOS hay Bot Net:
Khi bạn thấy website của bạn truy cập bị lag, trình duyệt quay quay mãi mà trang web không phản hồi hoặc lâu mới phản hồi thì rất có thể website của bạn đang là nạng nhân của một cuộc tấn công BOT Net hay DDOS Attack.
Hãy Kiểm tra trên cPanel:
Bước 1: Đăng nhập cPanel:
Nếu thấy hiện tượng trên , bạn cần đăng nhập vào host cPanel để kiểm tra xem liệu mình có đang bị tấn công hay là do máy chủ bị lỗi?
Đầu tiên các bạn đăng nhập vào cPanel như bình thường rồi vào mục Raw Access Log trong mục Metrics
Bước 2: Tải về file Log nghi ngờ:
Tại đây có các bản ghi Raw Access, mỗi bản ghi ứng với một tên miền của bạn, bên cạnh đó là thông tin về Lần cập nhật cuối cùng của File kích cỡ của các file Log và tên miền liên kết. Thoạt nhìn, nếu website của bạn đang bị tấn công thì dấu hiệu ở đây là Latst Update sẽ là vừa xong và Disk Usage lớn.
cPanel không cho phép xem các bản ghi log này trực tiếp trên web nên các bạn phải tải về mới xem được, như đã nói ở trên , hãy tải về các file Vừa mới Update và kích cỡ file lớn để bắt đầu tiến hành truy vết.
Bước 3: Tiến hành điều tra:
Trong file log sẽ có rất nhiều thông tin lưu dưới dạng vắn tắt bao gồm IP người dùng, ngày trang năm giờ phút giây truy cập, file truy vấn cùng với phương trức truy vấn, trang thái trả về, trình duyệt sử dụng,…rất nhiều thông tin, thông tin nào cũng hữu ích nhưng thông tin cần quan tâm trong trường hợp này là IP người dùng , file truy vấn và thời gian truy cập (Tôi đã bôi màu đỏ bên dưới)
46.165.197.141 – – [22/Jul/2016:07:01:01 -0400] “GET /search.php HTTP/1.0″ 200 – “-” “Mozilla/5.0 (compatible; MJ12bot/v1.4.5; .NET CLR 1.0.2690)”
46.165.197.141 – – [22/Jul/2016:07:01:01 -0400] “GET /search.php HTTP/1.0″ 200 – “-” “Mozilla/5.0 (compatible; MJ12bot/v1.4.5; .NET CLR 1.0.2690)”
46.165.197.141 – – [22/Jul/2016:07:01:01 -0400] “GET /search.php HTTP/1.0″ 200 – “-” “Mozilla/5.0 (compatible; MJ12bot/v1.4.5; .NET CLR 1.0.2690)”
46.165.197.141 – – [22/Jul/2016:07:01:01 -0400] “GET /search.php HTTP/1.0″ 200 – “-” “Mozilla/5.0 (compatible; MJ12bot/v1.4.5; .NET CLR 1.0.2690)”
Nếu đây thực sự là cuộc tấn công, các IP gần nhau giống hệt nhau, thời gian là cùng lúc, các file truy vấn thường là các file sẽ chiếm nhiều tài nguyên máy chủ khi chạy ví dụ như file search. Nếu bạn nhìn thấy cái Log file dạng trên thì đừng nghi ngờ gì nữa. Bạn đang bị tấn công!!!
Cách Khắc phục:
Tôi sẽ nói sơ sơ về cách khắc phục đó là sử dụng chức năng IP Blocker trong mục Security của cPanel, để tìm hiểu rõ chức năng này bạn có thể xem tại đây
Tại đây các bạn có thể chặn cái IP đã được file Raw Log kia tố cáo hoặc chặn theo dải IP gây nhiều truy vấn.
Chúc các bạn thành công!
Nguồn: cpanel.edu.vn