5月
31
日本時間で今日(05月30日)10:30 ごろからサーバが DDoS られていたらしく、繋がらない状態になっていました。23:50 ごろに復旧させました。
ping は応答するものの ssh でも http でも繋がらないのですがコンソールを取るには自宅に帰らないといけない(VPSサービスのユーザIDが分からない)のでこの時間になってしまいました。コンソールを見たら案の定 httpd が OOM killer にやられています。あとついでに swap ゴリゴリしたせいで VPS 側でディスク IO が制限されるモードになっていました。
コンソールからもログインできないので諦めて強制再起動(物理マシンで言う所のリセットボタン)した後、ログを見ると HTTP POST flood でスワップにはみ出して処理が遅くなってリクエストが溜まって…の悪循環のようでした。httpd を止めた状態でしばらく SYN パケットを眺めていたのですが収まる気配がない(もしかしたら平常時でこんぐらいだったかも)ので、とりあえず攻撃されてもリモートログインに影響が出にくいように最大サーバプロセス数を大幅に減らしてして httpd を起動しました。
こんな場末のサイトに攻撃してくるとは物好きもいたものです。ちなみに攻撃元アドレスはロシアウクライナカザフスタンベラルーシとかなので、旧ソ連全部ブロックしたろかい、という気分になっています(まだやらないけど)。
no comment untill now