저는 데비안 서버(커널: 2.6.32-5-amd64)를 가지고 있습니다.
나는 일반적으로 부두 서버를 운영하지만 최근에는 많은 연결이 이루어지기 시작했습니다. 꽤 알려지지 않은 서버이기 때문에 이 트래픽을 모두 받아서는 안 됩니다.
달리기:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
수백 개의 IP를 출력합니다. iptables 드롭 목록에 모두 추가하려고 시도했지만 새 IP가 계속 표시됩니다.
그런 다음 계속해서 Jetty를 중지했는데 모든 연결이 끊어졌습니다. 이것이 Jetty의 버그/보안 허점이 아닌지 확인하기 위해 apache2를 실행했고 모든 연결이 즉시 시작되었습니다.
사람들이 그것을 프록시 서버로 사용하고 있는 것 같습니다.urlsnarf포럼, 광고 사이트로 나가는 수많은 요청을 표시하며 이름을 지정합니다. 요청이 너무 많아서 CPU가 위아래로 뛰고 결국 서버가 충돌하게 됩니다.
어떻게 할 수 있는지 아는 사람 있나요? 포트 80에 나열된 서버가 무엇이든 간에 이는 즉시 시작되는 것 같습니다.
이게 DDOS 공격인가요? 사람들은 어떻게 포트 80에 소프트웨어 목록이 있는 경우에만 내 서버를 프록시로 사용합니까?
나는 호스트 거부를 설치하고 수축시켰습니다(http://deflate.medialayer.com/), 하지만 여전히 문제는 지속됩니다.
답변1
서버를 통해 실제 트래픽이 발생하는 경우 이는 DDOS 공격이 아닙니다.
당신이 설명하는 것은 가능하지 않아야 하지만 해커가 여전히 방법을 찾았을 수도 있습니다. 서버가 손상된 경우 공격은 감염된 다른 컴퓨터를 통해 네트워크 내부에서 발생했을 가능성이 훨씬 높습니다.
이 서버의 디스크를 다시 포맷하고 모든 소프트웨어를 다시 설치하는 것이 좋습니다. 외부 및 내부 네트워크 모두에서 방화벽이 설정되어 있는지 확인하세요.
또한 이 서버에 대한 모든 종류의 액세스 권한이 있는 내부 네트워크의 모든 컴퓨터를 확인하고 향후에는 이러한 액세스를 더 많이 제한해야 합니다.
Apache에 대한 아래 기사를 따르십시오(자세한 정보는 다른 곳에서 찾을 수 있습니다).
보안 팁 - Apache HTTP 서버
Apache 구성을 보호하는 20가지 방법
Linux 강화에 대한 기사가 많이 있으므로 다음은 몇 가지만 소개합니다.
답변2
실제로 주제에 관한 것은 아니지만 2.6.32-5는 로컬 루트 폭발에 취약하므로 커널을 업데이트하는 것이 좋습니다.
그러나 귀하의 서버는 이미 손상되어 누군가의 프록시 서버로 사용되고 있을 수 있습니다. 웹 사이트를 호스팅하는 경우 의심스러운 페이지가 있는지 살펴보십시오.
또한 만일을 대비해 안티 루트킷 소프트웨어도 설치하십시오.
일반적으로 DDoS 공격은 Wireshark와 같은 프로그램을 통해 트래픽을 살펴보면 SYN 요청으로 표시됩니다.
답변3
모든 관심에 감사드립니다.
마침내 호스팅 회사에 편지를 쓰고 새로운 IP 세트를 얻었습니다. 이제 공격이 완전히 중단되었습니다.
나는 이러한 공격이 어떻게 수행되었는지에 대해 여전히 궁금합니다. 따라서 누구든지 의견이 있으면 여전히 좋은 답변에 관심이 있습니다. 하지만 지금은 문제가 해결되었습니다.
다시 한 번 감사드립니다.