私は Debian サーバー (カーネル: 2.6.32-5-amd64) を持っています。
普段は Jetty サーバーを稼働させていますが、最近は大量の接続が来るようになりました。あまり知られていないサーバーなので、これほど多くのトラフィックが来るはずはありません。
ランニング:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
数百の IP を出力します。すべてを iptables ドロップ リストに追加しようとしましたが、新しい IP が表示され続けます。
次に、Jetty を停止すると、すべての接続が切断されました。これが Jetty のバグ/セキュリティ ホールではないことを確認するために、apache2 を起動すると、すべての接続がすぐに開始されました。
プロキシサーバーとして使っている人もいるようですが、urlsnarfフォーラム、広告サイトなどへの大量の送信リクエストが表示されます。リクエストが多すぎるため、CPU が上下し、最終的にサーバーがクラッシュしてしまいます。
誰かこれをどうやって実行できるか知っていますか? ポート 80 にリストされているサーバーであれば、すぐにこの処理が始まるようです。
これは DDOS 攻撃ですか? ポート 80 にリストされているソフトウェアだけで、私のサーバーをプロキシとして使用する人がいるのはなぜですか?
私はhostsdenyをインストールしてdeflate(http://deflate.medialayer.com/)、しかし、それでも問題は解決しません。
答え1
サーバーを介して実際のトラフィックが流れている場合、これは DDOS 攻撃ではありません。
あなたが説明していることはあり得ないはずですが、ハッカーがまだ方法を見つけている可能性があります。サーバーが侵害された場合、攻撃は別の感染したコンピューターを介してネットワーク内から行われた可能性が高くなります。
このサーバーのディスクを再フォーマットし、すべてのソフトウェアを再インストールすることをお勧めします。外部ネットワークと内部ネットワークの両方からファイアウォールで保護されていることを確認してください。
また、このサーバーに何らかの形でアクセスできる内部ネットワーク内のすべてのコンピューターを確認し、将来的にはそのようなアクセスをさらに制限する必要があります。
Apache については以下の記事を参照してください (詳細は他の場所で必ず見つかります):
セキュリティのヒント - Apache HTTP サーバー
Apache 構成を安全にする 20 の方法
Linux の強化に関する記事は多数ありますが、ここではそのうちのいくつかを紹介します。
答え2
話題から外れますが、カーネル 2.6.32-5 はローカル ルートのエクスプロイトに対して脆弱なので、カーネルを更新することをお勧めします。
しかし、あなたのサーバーはすでに侵害されており、誰かのプロキシ サーバーとして使用されている可能性があります。Web サイトをホストしている場合は、そのサーバーを調べて、疑わしいページがないか確認してください。
念のため、ルートキット対策ソフトウェアもインストールしてください。
通常、DDoS攻撃は、Wiresharkなどのプログラムでトラフィックを見ると、SYNリクエストとして表示されます。
答え3
ご清聴ありがとうございました。
最終的にホスティング会社に連絡して新しい IP セットを取得したところ、攻撃は完全に停止しました。
これらの攻撃がどのように行われたのか、私はまだ興味があります。ですから、もし誰かが何か情報を持っていたら、私はまだ良い答えに興味があります。しかし、今のところ、私にとって問題は解決しました。
再度、感謝します。