У меня есть сервер, на котором запущено несколько веб-хостов (все они управляются изнутри), который вчера вечером подвергся, похоже, атаке типа dos. Я заблокировал атакующий IP в IPTABLES для входных и выходных цепочек. Это, похоже, решило проблему, и я пошел домой.
Сегодня утром сервер снова отключился — на этот раз, судя по данным netstat, он отправлял несколько SYN-пакетов на атакующий IP-адрес. Очевидноони были отброшены цепочкой IPTABLES OUTPUT, но в стеке их было так много, что произошел сбой.
Я беспокоюсь, что сервер отправляет syn-ы атакующему. Предположительно, он пытается установить новое исходящее соединение с IP атакующего на порту 80, но почему? Означает ли это, что сервер скомпрометирован? Как мне узнать, что является причиной этого? Я пробовал netstat -p, но он просто показывает владельца исходящих попыток как httpd.
В веб-каталоге есть несколько крупных сайтов, поэтому моя попытка выполнить grep для поиска IP-адреса атакующего во всех веб-файлах заняла бы несколько дней.
Что делать?
Спасибо заранее....
решение1
Сервер/виртуальный хост может быть скомпрометирован, и сайт может попытаться загрузить дополнительные оболочки/бэкдоры/инструкции. Трудно сказать, как узнать, какой виртуальный хост.
Если вы не можете выполнить grep на рабочем сервере, вы можете попробовать выполнить grep на резервном сервере. То же самое с журналами.
Или просто взгляните на файлы, измененные за последние 24–48 дней.
Если httpd=Apache, вы можете попробовать получить pid из netstat, а затем попытаться сопоставить его с выводом состояния сервера (если IP-адрес потерян, то этот поток сервера может работать долгое время, пока не истечет время ожидания wget/curl/чего-то еще).
Вы также можете попытаться найти запросы с очень большим временем ответа в журналах httpd (вам придется изменить формат журнала, поскольку обычно ни один веб-сервер не регистрирует время запроса).