У меня есть сервер Debian (ядро: 2.6.32-5-amd64).
Обычно я запускаю на нем сервер jetty, но в последнее время он начал получать тонны подключений к нему. Он не должен получать весь этот трафик, поскольку это довольно неизвестный сервер.
Бег:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Выводит сотни IP-адресов. Я пробовал добавлять их все в список iptables, но новые IP-адреса продолжают появляться.
Затем я пошел дальше и остановил Jetty, и все соединения пропали. Чтобы убедиться, что это не ошибка/дыра в безопасности Jetty, я запустил apache2, и все соединения сразу же запустились.
Похоже, люди используют его как прокси-сервер, используяurlsnarfон показывает тонны исходящих запросов на форумы, рекламные сайты и т. д. Он делает так много запросов, что процессор прыгает вверх-вниз, и в конечном итоге сервер падает.
Кто-нибудь знает, как это сделать? Похоже, что какой бы сервер ни был на порту 80, это сразу же начинается.
Это DDOS-атака? Как люди используют мой сервер как прокси, только с программным обеспечением, прописанным на порту 80?
У меня установлены и выкачаны hostsdeny (http://deflate.medialayer.com/), но проблема все равно осталась.
решение1
Это не DDOS-атака, если через ваш сервер проходит реальный трафик.
То, что вы описываете, не должно быть возможным, но хакеры все равно могли найти способ. Если ваш сервер был скомпрометирован, то гораздо более вероятно, что атака произошла изнутри вашей сети через другой зараженный компьютер.
Я бы предложил переформатировать диск этого сервера и переустановить все программное обеспечение. Убедитесь, что он защищен брандмауэром как от внешней, так и от внутренней сети.
Вам также следует проверить все компьютеры в вашей внутренней сети, которые имеют какой-либо доступ к этому серверу, и в будущем еще больше ограничить любой такой доступ.
Следуйте статьям ниже для Apache (более подробную информацию наверняка можно найти в другом месте):
Советы по безопасности - Apache HTTP Server
20 способов защитить вашу конфигурацию Apache
Существует множество статей по усилению защиты Linux, вот лишь несколько из них:
20 советов по усилению безопасности Linux-сервера
Контрольный список по усилению защиты сервера Red Hat Linux
решение2
Это не совсем по теме, но я бы посоветовал обновить ядро, так как версия 2.6.32-5 уязвима для локального эксплойта root.
Но ваш сервер мог быть уже взломан и использоваться кем-то в качестве прокси-сервера. Если вы размещаете веб-сайт, проверьте его на наличие подозрительных страниц.
Также на всякий случай установите антируткитное программное обеспечение.
Обычно DDoS-атаки просто отображаются в виде SYN-запросов, если вы просматриваете трафик с помощью такой программы, как Wireshark.
решение3
Спасибо за внимание.
Я наконец-то написал в свою хостинговую компанию и получил новый набор IP-адресов, теперь атаки полностью прекратились.
Мне все еще любопытно, как были сделаны эти атаки, так что если у кого-то есть какие-либо соображения - я все еще заинтересован в хорошем ответе. Но на данный момент проблема для меня решена.
Еще раз спасибо.