Ich habe einen Debian-Server (Kernel: 2.6.32-5-amd64).
Normalerweise betreibe ich einen Jetty-Server darauf, aber in letzter Zeit gibt es massenhaft Verbindungen. Da es sich um einen ziemlich unbekannten Server handelt, sollte er nicht so viel Verkehr haben.
Läuft:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Gibt Hunderte von IPs aus. Ich habe versucht, sie alle zur Drop-Liste von iptables hinzuzufügen, aber es werden immer wieder neue IPs angezeigt.
Dann habe ich Jetty gestoppt und alle Verbindungen waren weg. Um sicherzustellen, dass es sich nicht um einen Fehler/eine Sicherheitslücke in Jetty handelte, habe ich Apache2 gestartet und alle Verbindungen wurden sofort hergestellt.
Es sieht so aus, als würden die Leute es als Proxy-Server verwenden,AbonnierenEs werden Unmengen von ausgehenden Anfragen an Foren, Werbeseiten usw. angezeigt. Es werden so viele Anfragen gestellt, dass die CPU-Leistung hoch- und herunterspringt und der Server schließlich abstürzt.
Weiß jemand, wie das geht? Es scheint, als würde der Server, der Port 80 auflistet, sofort damit beginnen.
Handelt es sich hier um einen DDOS-Angriff? Wie können Leute meinen Server als Proxy verwenden, nur mit Software-Listing auf Port 80?
Ich habe hostsdeny installiert und deflate (http://deflate.medialayer.com/), aber das Problem besteht weiterhin.
Antwort1
Dies ist kein DDOS-Angriff, wenn tatsächlich Datenverkehr über Ihren Server läuft.
Was Sie beschreiben, sollte eigentlich nicht möglich sein, aber Hacker haben vielleicht trotzdem einen Weg gefunden. Wenn Ihr Server kompromittiert wurde, ist es viel wahrscheinlicher, dass der Angriff von innerhalb Ihres Netzwerks über einen anderen infizierten Computer erfolgte.
Ich würde vorschlagen, die Festplatte dieses Servers neu zu formatieren und die gesamte Software neu zu installieren. Stellen Sie sicher, dass er sowohl vom externen als auch vom internen Netzwerk durch eine Firewall geschützt ist.
Darüber hinaus sollten Sie alle Computer in Ihrem internen Netzwerk überprüfen, die in irgendeiner Form auf diesen Server zugreifen, und derartige Zugriffe künftig stärker einschränken.
Folgen Sie den unten stehenden Artikeln zu Apache (weitere Informationen sind sicherlich woanders zu finden):
Sicherheitstipps - Apache HTTP Server
20 Möglichkeiten zur Sicherung Ihrer Apache-Konfiguration
Es gibt viele Artikel zum Thema „Härtung von Linux“, hier nur einige:
20 Tipps zur Verbesserung der Sicherheit von Linux-Servern
Checkliste zur Härtung von Red Hat Linux-Servern
Antwort2
Es gehört nicht wirklich zum Thema, aber ich würde Ihnen raten, Ihren Kernel zu aktualisieren, da 2.6.32-5 für einen lokalen Root-Exploit anfällig ist.
Es ist jedoch möglich, dass Ihr Server bereits kompromittiert wurde und von jemandem als Proxyserver verwendet wird. Wenn Sie eine Website hosten, sehen Sie sich diese an und prüfen Sie, ob es verdächtig aussehende Seiten gibt.
Installieren Sie vorsichtshalber auch eine Anti-Rootkit-Software.
Normalerweise werden DDoS-Angriffe einfach als SYN-Anfragen angezeigt, wenn Sie den Datenverkehr mit einem Programm wie Wireshark betrachten.
Antwort3
Vielen Dank für die Aufmerksamkeit.
Ich habe schließlich an meine Hosting-Firma geschrieben und einen neuen Satz IPs erhalten; jetzt haben die Angriffe vollständig aufgehört.
Ich bin immer noch neugierig, wie diese Angriffe durchgeführt wurden. Wenn also jemand etwas dazu sagen kann, bin ich immer noch an einer guten Antwort interessiert. Aber für den Moment ist das Problem für mich gelöst.
Danke noch einmal.