Home > Hosting > Linux Hosting > Cpanel Hosting > Hướng dẫn Kiểm tra phát hiện tấn công Ddos hoặc botnet vào website trên Cpanel

Hướng dẫn Kiểm tra phát hiện tấn công Ddos hoặc botnet vào website trên Cpanel

Nếu đột nhiên bạn phát hiện website đột ngột có hiện tượng load chậm, website không chịu hiển thị nội dung hoặc website chiếm bandwith 1 cách nhanh chóng mặt.

Có thể website của bạn đang bị tấn công.

TenTen xin hướng dẫn các bạn cách phát hiện bị tấn công Ddos

Đầu tiên, bạn vào mục Raw access log trên Cpanel sau đó download log để kiểm tra.

Nếu bạn thấy 1 IP (Ddos) hoặc nhiều IP (botnet) request liên tục tới 1 Url (đây là điểm yếu của auto).

Ví Dụ:
183.80.63.252 – - [13/May/2012:18:19:48 -0700] “GET /@4rum/index.php HTTP/1.1″ 403 301 “-”“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)”
183.80.63.252 - – [13/May/2012:18:19:48 -0700] “GET /@4rum/index.php HTTP/1.1″ 403 301 “-”“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)”
183.80.63.252 – - [13/May/2012:18:19:48 -0700] “GET /@4rum/index.php HTTP/1.1″ 403 301 “-”“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)”
183.80.63.252 – - [13/May/2012:18:19:48 -0700] “GET /@4rum/index.php HTTP/1.1″ 404 297 “-”“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)”
183.80.63.252 – - [13/May/2012:18:19:48 -0700] “GET /@4rum/index.php HTTP/1.1″ 403 301 “-”“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)”

Nếu kẻ tấn công từ 1 IP như trên thì bạn thực hiện cấu hình chặn IP bằng file .htaccess như sau:

order allow,deny
deny from 183.80.63.252
allow from all

Nếu bị tấn công liên tiếp vào cùng một vị trí index.php nhưng nhiều IP khác nhau, nếu bạn chỉ sử dụng hàm chặn số lần kết nối trong 1 phút từ 1 IP này, chắc không tính ra được và nhầm với IP thành viên thực.
- Bạn sẽ chú ý tới các user-agent:

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)

Nhìn mắt thường sẽ thấy rất giống nhau, bạn cần block nó đi thôi.
- Nếu bạn block cả cụm đó, bạn sẽ thấy các máy sử dụng windows 5.1 (XP sp2) và sử dụng IE 6 (MSIE 6.0) sẽ cũng không vào được, vậy bạn không nên block hết toàn bộ, bạn hãy quan tâm tới phần riêng của nó, ở đây phần riêng là CLR 1.0.3705
Vậy bạn block nó thôi, sử dụng code htaccess:

RewriteCond %{HTTP_USER_AGENT} ^1.0.3705
RewriteRule ^.* – [F,L]
Hoặc
SetEnvIfNoCase User-Agent “1.0.3705″ bad_bot
Order Allow,Deny
Allow from all
Deny from env=bad_bot

- Nếu một site nào đó lấy thông tin get nhiều file của bạn từ một trang web, hãy block kết nối trang web đó tới website của bạn:

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://.*1-vài-ký-tự-trong-domain.com [NC]
RewriteRule .* – [F]

Các bước ở trên là các bước cơ bản để hạn chế các cuộc tấn công vào website của bạn.

Ngoài các cách trên, bạn có thể sử dụng các mod,plusin,script, để hạn chế như blockscript (có tính phí).

Mong rằng bài viết này sẽ hữu dụng cho các bạn.

Chúc các bạn thành công !