Eu uso o nginx como servidor proxy apache2 e tenho um problema com a saída do netstat:
$ netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
5 109.195.36.169
6 109.195.33.205
8 194.190.59.4
14 83.246.143.75
19 109.195.33.201
725 127.0.0.1
Parte da saída:netstat -nt
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
Como remover essas conexões localhost? Ou este é um comportamento normal? Suspeito que meu site tenha ataque DDOS.
Responder1
Na verdade não. Pelo menos, a saída parcial do seu netstat -nté normal
tcp 0 0 127.0.0.1:59703 127.0.0.1:8080 TIME_WAIT
tcp 1 0 127.0.0.1:8080 127.0.0.1:59867 CLOSE_WAIT
Esta conexão provavelmente foi feita pelo nginx para o apache enquanto você executa o proxy reverso nele.
tcp 0 0 127.0.0.1:11211 127.0.0.1:45684 ESTABLISHED
tcp 0 0 127.0.0.1:45848 127.0.0.1:11211 ESTABLISHED
A porta 11211 éporta regular do daemon memcache. Portanto, essa conexão provavelmente foi feita pela sua aplicação web ao servidor memcache.
Considerando também o simples fato: o invasor não consegue acessar o endereço de loopback (127.0.0.1) de fora -na verdade, o invasor pode falsificá-lo, mas não receberá a resposta-, então é seguro apostar que seu servidor estava 'bem'.
Se houver muitas conexões como acima (portas 8080 e 11211), então pode ser um indicador de muitas solicitações em seu servidor nginx. Isto terá efeito:
- O nginx fará conexão com o apache.
- O apache executará seu código da web e, portanto, fará a conexão com o servidor memcache, se necessário.