Olay Müdahale Roadmap

Saldırı, erişim kaybı, aşırı trafik, bellek şişmesi (Redis/app) ve disk doluluğu için hızlı karar akışı ve ilgili doküman bağlantıları.

Hızlı karar matrisi

• Erişemiyorum (SSH/time-out/permission) → sunucu-erisimi, ssh-baglanti
• Web saldırı/DoS/WAF ihtiyacı → cloudflare-ops, litespeed-trafik-koruma
• Aşırı trafik / 5xx artışı → litespeed-trafik-koruma, cloudflare-ops
• Bellek şişmesi (Redis/app) → bu dokümandaki bellek bölümü + ilgili servis logları
• Disk dolu/inode dolu → sunucu-durumu (df/du), bu dokümandaki disk adımları

Önce etkiyi durdur (limit/kapama/cache), sonra kök nedeni düzelt.

Saldırı / kötü niyetli trafik

Hemen:

• Cloudflare: Security > Under Attack Mode aç; WAF/Rate Limit ile hedef URI/IP’ye challenge/block.
• LiteSpeed: Per-Client Throttle, Access Control (deny), URI bazlı kural; LSCache kısa TTL.
• IP/UA/URI analizi için access log: top IP/URI/UA dağılımını çıkar (bkz. litespeed-trafik-koruma).

Kalıcı:

• Rate limit kuralını kalibrasyonla açık tut; WAF kuralı ekle.
• Bot trafiği için Captcha/Challenge; API yollarında JWT/key kontrolü.
• İzleme: 5xx oranı, istek hızı, WAF/event metrikleri.

Sunucu erişim sorunu (SSH/port)

Hemen:

• sunucu-erisimi adımları: DNS/rota/port testi (dig/ping/nc), doğru anahtar/izin kontrolü.
• ssh-baglanti: ssh -vvv, agent/permission, doğru kullanıcı/port, host key temizliği.

Kalıcı:

• ~/.ssh/config ile host bazlı anahtar/port; jump host tanımı.
• Security Group/firewall kural doğrulama; erişim bekçisi (fail2ban) ayarlarını gözden geçir.

Aşırı trafik / kapasite

Hemen:

• LiteSpeed: Per-Client throttling, Access Control deny, URI/UA bazlı kural; LSCache aç/kısa TTL.
• Cloudflare: Custom Purge (içerik güncel), Under Attack Mode, Rate Limit kuralı (login/api), IP deny/challenge.
• Ölç: aktif bağlantı, 5xx oranı, CPU/RAM (bkz. sunucu-durumu).

Kalıcı:

• Cache stratejisi (LSCache/Cloudflare); soğuk başlangıcı azalt.
• Otomatik ölçek veya daha yüksek limitler; rate limit eşikleri gözden geçir.
• Uygulama tarafı yavaş uç noktalar için profil/optimizasyon.

Bellek şişmesi (Redis veya uygulama)

Hemen (Redis):

• redis-cli info memory → used_memory_human, maxmemory, maxmemory_policy.
• redis-cli --bigkeys veya memory usage <key> ile büyük anahtarları bul.
• SLOWLOG GET 20 ile yavaş komutları kontrol et.
• Eviction açık değilse (noeviction) ve bellek doluyorsa: geçici olarak maxmemory ve allkeys-lru/volatile-lru gibi policy ayarla; kritik olmayan key’leri sil.

Hemen (uygulama):

• ps/top/htop ile süreç bazlı %MEM; sızıntı görünen servisi yeniden başlat (riskleri bilerek).

Kalıcı:

• Redis: Uygun maxmemory ve policy, TTL zorunluluğu, büyük key periyodik temizlik, AOF/RDB boyut optimizasyonu.
• Uygulama: Profiling (heap dump, flamegraph), connection pool/timeout ayarları; bellek limitini (cgroup/systemd) tanımla.

Disk doluluğu / inode

Hemen:

• df -h, df -i ile dolu mount noktası/inode tespiti.
• sudo du -sh /var/log/* | sort -h | tail; büyük logu rotate/temizle.
• journalctl --vacuum-time=2d ile eski journal’ı küçült.
• Gereksiz cache/temp: sudo du -sh /tmp/*, uygulama build/artifact temizliği.

Kalıcı:

• Logrotate ayarlarını sıkılaştır; uygulama log seviyesini optimize et.
• Disk/partition kapasitesini artır veya eski release/log arşivini dışarı taşı.
• Inode tüketimi için küçük dosya üreten dizinleri arşivle veya birleşik dosyalara taşı.

İzleme ve önleyici adımlar

• Metrikler: CPU/RAM/disk, bağlantı sayısı, 5xx oranı, Redis bellek/eviction, WAF/rate limit tetik sayıları.
• Alarmlar: 5xx artışı, disk %80+, Redis used/maxmemory > %80, bağlantı sayısı eşiği, SSH başarısız giriş artışı.
• Doküman entegrasyonu: Saldırı ve trafik için cloudflare-ops, litespeed-trafik-koruma; erişim için sunucu-erisimi, ssh-baglanti; kaynak durumu için sunucu-durumu.