Ik heb een server er vandaag 2x geheel uit zien vliegen, na een flinke piek in uitgaande verkeer. Gezien het een VPS bij Transip is welk gemanaged is bij een derde partij, heeft Transip automatisch de server op cooldown gezet (dus tijdelijk zonder enige connectiviteit) om enige schade te beperken. Nadat we deze weer online kregen begon het gezeik weer. De hele server schiet explosief qua verkeer omhoog en komt automatisch in cooldown. Dit gebeurd wanneer DA start.
We hebben iedere user (Directadmin) nagelopen, op suspended gezet, en uiteindelijk gestuit op de combinatie van Comodo WAF en CSF. In de CSF stond zo'n 33k aan IP bans opgeslagen, toen we deze geflushed hadden, terug naar nul dus, leek het hele probleem ineens te zijn verholpen.
Ik heb eerlijk gezegd nog nooit een probleem gehad met een CSF dat meer dan 50k aan IP bans heeft staan. De server draait ook niet onder qua specs. Mischien dat er op dat moment een aanval plaatsvind, en dat CSF overspoeld wordt met IP adressen via Comodo WAF. We hebben geen idee.
Maar mischien dat er hier ook andere users rondhangen die ook gebruik maken van bovenstaande combinatie of CSF met meer dan 30k aan entries gebruiken. Het is een heel raar probleem. Als het gebeurd is de server van buitenaf niet meer bereikbaar. Er vindt dan ineens een spike plaats in uitgaande traffic op waarop de server in een cooldown komt te zitten.
Het is dus voor de 2de keer gebeurd vandaag zonder enige notificatie. De service van Transip was eigenlijk om niet over weg te schrijven. We zaten met een acuut probleem waar een level 1 medewerker ons doorverwijst naar de kennisbank ...
Server host zo'n 200+ websites; load is gemiddeld 1%.
We hebben iedere user (Directadmin) nagelopen, op suspended gezet, en uiteindelijk gestuit op de combinatie van Comodo WAF en CSF. In de CSF stond zo'n 33k aan IP bans opgeslagen, toen we deze geflushed hadden, terug naar nul dus, leek het hele probleem ineens te zijn verholpen.
Ik heb eerlijk gezegd nog nooit een probleem gehad met een CSF dat meer dan 50k aan IP bans heeft staan. De server draait ook niet onder qua specs. Mischien dat er op dat moment een aanval plaatsvind, en dat CSF overspoeld wordt met IP adressen via Comodo WAF. We hebben geen idee.
Maar mischien dat er hier ook andere users rondhangen die ook gebruik maken van bovenstaande combinatie of CSF met meer dan 30k aan entries gebruiken. Het is een heel raar probleem. Als het gebeurd is de server van buitenaf niet meer bereikbaar. Er vindt dan ineens een spike plaats in uitgaande traffic op waarop de server in een cooldown komt te zitten.
Het is dus voor de 2de keer gebeurd vandaag zonder enige notificatie. De service van Transip was eigenlijk om niet over weg te schrijven. We zaten met een acuut probleem waar een level 1 medewerker ons doorverwijst naar de kennisbank ...
Server host zo'n 200+ websites; load is gemiddeld 1%.
:strip_icc():strip_exif()/u/17313/_IGP1526kl2.jpg?f=community)
/u/172597/crop5e1225c8b1011.png?f=community)
:strip_exif()/u/259931/stuiterbal2.gif?f=community)
/u/38159/DirkJan.png?f=community)