È un attacco DDoS? Sono passate oltre 48 ore. Cosa faccio? [chiuso]

-2

Eseguo un Wordpress su EC2 su AWS e sto affrontando il seguente problema:

Più di 2 giorni fa, la CPU è passata direttamente al 100% e il bilanciamento del carico fino a ~ 20+ (per un server 4-vcpu) di punto in bianco.

Non essendo in grado di capire cosa sta succedendo, ho attivato la modalità "I Am Under Attack" su Cloudflare ( https://blog.cloudflare.com/introducing-im-under-attack-mode/ ) che ha riportato le cose alla normalità (~ 15% CPU, <1 carico).

Da allora, non appena disabilito la modalità "under attack", succede esattamente lo stesso, CPU pazza, carico pazzo. Lo riaccendo, le cose vanno alla normalità.

Inoltre, sto monitorando tcptrack -i eth0e vedo che arrivano nuove connessioni da diversi IP quando disattivo la protezione Cloudflare.

Dovrei concludere che si tratta di un attacco DDoS? Cosa posso fare oltre all'ubicazione dietro il firewall Cloudflare e quanto può durare?

Grazie per eventuali suggerimenti

ddos  cloudflare 
user3367364
fonte
Che dimensione dell'istanza stai usando? Pubblica uno screenshot di "top" durante un periodo in cui ciò accade.
EEAA,
Ci sono informazioni sui referrer nei log di accesso? Se non lo è, aggiungilo. Ciò potrebbe aiutarti a dire se il tuo sito Web è diventato popolare da qualche parte.
Tim
Possibile duplicato di I am under DDoS. Cosa posso fare?
Jim B,

Risposte:

3

Devi guardare i tuoi log di Apache, per capire quali sono le richieste in arrivo prima di saltare a qualsiasi conclusione. Potrebbe non essere DDOS potrebbe essere semplicemente una pagina codificata male che riceve molto traffico, o il tuo sito potrebbe essere diventato virale sui social media ... guarda i tuoi log di Apache o fai in modo che alcune analisi accadano per capire cosa sta succedendo prima di decidere un piano di azione.

Nath
fonte
ciao, grazie per la risposta. Sto monitorando il registro di accesso di Apache e il registro degli errori. Il registro di Apache non mostra hit ricorrenti su una pagina specifica, ma solo una maggiore attività tutti insieme. Qualche consiglio su cosa dovrei cercare? I media virali non sono il caso poiché questo non sembra essere traffico legittimo: a) se fosse legittimo, non verrebbe tagliato dal filtro cloudflare eb) non vi sarebbe alcun aumento in Google Analytics
user3367364
Come va con questo ?? Devono esserci delle richieste che puoi usare per capire perché il traffico è aumentato, sicuramente il cloud flare ha alcuni registri sul traffico che viene eliminato.
Nath,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.