Eu tenho um servidor Debian (kernel: 2.6.32-5-AMD64).
Normalmente executo um servidor jetty nele, mas ultimamente ele começou a receber toneladas de conexões. Não deveria receber todo esse tráfego, já que é um servidor bastante desconhecido.
Correndo:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Produz centenas de IPs. Tentei adicionar todos eles à lista suspensa do iptables, mas novos IPs continuam aparecendo.
Então fui em frente e parei Jetty, e todas as conexões desapareceram. Para ter certeza de que não era um bug/falha de segurança no Jetty, iniciei o apache2 e todas as conexões foram iniciadas imediatamente.
Parece que as pessoas o estão usando como servidor proxy, usandourlsnarfele está mostrando toneladas de solicitações enviadas para fóruns, sites de anúncios e você escolhe. Ele está fazendo tantas solicitações que a CPU fica pulando para cima e para baixo e, eventualmente, o servidor acaba travando.
Alguém sabe como eles podem fazer isso? Parece que qualquer servidor listado na porta 80 está começando imediatamente.
Este é um ataque DDOS? Como as pessoas estão usando meu servidor como proxy, apenas com listagem de software na porta 80?
Eu instalei o hostsdeny e esvaziei (http://deflate.medialayer.com/), mas ainda assim o problema persiste.
Responder1
Este não é um ataque DDOS se houver tráfego real em seu servidor.
O que você está descrevendo não deveria ser possível, mas os hackers ainda podem ter encontrado uma maneira. Se o seu servidor foi comprometido, é muito mais provável que o ataque tenha vindo de dentro da sua rede através de outro computador infectado.
Eu sugeriria reformatar o disco deste servidor e reinstalar todo o software. Certifique-se de que ele esteja protegido por firewall nas redes externas e internas.
Você também deve verificar todos os computadores da sua rede interna que têm acesso de qualquer tipo a este servidor e, no futuro, restringir ainda mais esse acesso.
Siga os artigos abaixo para o Apache (mais informações certamente podem ser encontradas em outro lugar):
Dicas de segurança - Servidor HTTP Apache
20 maneiras de proteger sua configuração Apache
Existem muitos artigos sobre como proteger o Linux, então aqui estão apenas alguns:
20 dicas de segurança para reforço de servidor Linux
Lista de verificação de proteção do servidor Red Hat Linux
Responder2
Não está realmente no assunto, mas eu recomendaria atualizar seu kernel, pois 2.6.32-5 é vulnerável a uma exploração de root local.
Mas seu servidor já pode estar comprometido e sendo usado como servidor proxy para alguém. Se você estiver hospedando um site, dê uma olhada nele para ver se há alguma página suspeita.
Instale também o software anti-rootkit, apenas para garantir.
Normalmente, os ataques DDoS apareceriam apenas como solicitações SYN se você analisasse o tráfego por meio de um programa como o wireshark
Responder3
Obrigado por toda atenção.
Finalmente escrevi para minha empresa de hospedagem e consegui um novo conjunto de IPs, agora os ataques pararam completamente.
Ainda estou curioso sobre como esses ataques foram feitos, então, se alguém tiver alguma opinião, ainda estou interessado em uma boa resposta. Mas por enquanto o problema está resolvido para mim.
Obrigado novamente.