私は複数の Web ホスト (すべて社内管理) を実行しているサーバーを所有していますが、昨夜、このサーバーが DoS 攻撃を受けたようでした。入力チェーンと出力チェーンの両方で、IPTABLES で攻撃元の IP をブロックしました。これで問題は解決したようで、私は帰宅しました。
今朝、サーバーが再びダウンしました。今回は、netstat から、サーバーが攻撃 IP に複数の SYN を送信していたようです。 明らかにこれらは IPTABLES OUTPUT チェーンによってドロップされましたが、スタック内に多すぎて失敗しました。
サーバーが攻撃者に syn を送信しているのではないかと心配しています。おそらく、ポート 80 で攻撃者の IP への新しい送信接続を確立しようとしているのでしょうが、なぜでしょうか。これは、サーバーが侵害されていることを意味しますか。原因を突き止めるにはどうすればよいですか。netstat -p を試しましたが、送信試行の所有者が httpd として表示されるだけです。
Web ディレクトリには大きなサイトがいくつかあるため、すべての Web ファイルで攻撃者の IP を grep で検索しようとすると、数日かかるでしょう。
何をするか?
よろしくお願いします。
答え1
サーバー/仮想ホストが侵害され、サイトが追加のシェル/バックドア/命令をダウンロードしようとする可能性があります。どの仮想ホストが侵害されているかを調べる方法はわかりません。
運用サーバーで grep できない場合は、バックアップで grep を試してみてください。ログについても同様です。
または、過去 24 ~ 48 日間に変更されたファイルを確認してください。
httpd=Apache の場合、netstat から pid を取得し、サーバー ステータス出力で一致させようとする場合があります (IP がドロップされると、wget/curl/その他がタイムアウトするまで、そのサーバー スレッドが長時間実行される可能性があります)。
また、httpd ログで応答時間が非常に長いリクエストを探すこともできます (通常、どちらの Web サーバーもリクエスト時間を記録しないため、ログ形式を変更する必要があります)。