halo gaesss. catatan kali ini tentang Troubleshoot web server yang “lelah” karena melayani request.
jadi ceritanya pagi-pagi seorang client berkabar kepada saya melalui pesan singkat WA, mengabarkan kalau doi gak bisa akses aplikasi.
oke, saya cek emang bener aplikasinya tidak dapat diakses. lantas saya mulai remote servernya. pertama-tama, yang saya lihat adalah service default untuk menjalankan aplikasi ini, yaitu web server, dan database server.
dari hasil pengecekan, service masih berjalan. berarti dari sisi service aman. tahap berikutnya, saya melihat log dari service web server.
Dari error terbaca bahwa terdapat request file dalam jumlah besar dalam waktu bersamaan, terdapat limitasi dari konfigurasi default security server untuk membatasinya agar load CPU dan RAM tidak melonjak.
hmmm, sampai disini, saya curiga server ini sedang di attack, kalau memang manusia yang request, pasti tidak mungkin sebanyak ini. ini pasti robot ( script ). tahap berikutnya, saya cek firewall.
melakukan pengecekan trafik pada firewall untuk melihat request yang masuk ke server
Benar terdapat request dalam jumlah besar yang koneksinya di reset oleh server.
kemudian melakukan pengecekan threat pada firewall untuk melihat paket yang masuk ke server.
Server sedang diserang dengan metode Dictionary Attack pada port 80.
Dikarenakan kebutuhan mendesak, agak layanan kembali hidup dan server memiliki spesifikasi fisik CPU 16 core dan RAM 32 GB, saya memutuskan untuk meng-allow trafik pada server. Dengan spesifikasi diatas, server diperkirakan mampu menahan script scanner.
cara Troubleshootingnya adalah Melakukan edit pada file /etc/security/limits.conf
kemudian menambahkan pada baris akhir file tsb dengan :
ulimit -n 16384
setelah itu melakukan restart pada web server.
layanan kembali dapat digunakan.