我有一個 Debian 伺服器(核心:2.6.32-5-amd64)。
我通常在上面運行一個碼頭伺服器,但最近,它開始獲得大量連接。它不應該獲得所有這些流量,因為它是一個非常未知的伺服器。
跑步:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
輸出數百個IP。我嘗試將它們全部添加到 iptables 下拉列表中,但新的 IP 不斷出現。
然後我繼續阻止 Jetty,所有連線都消失了。為了確保這不是 Jetty 中的錯誤/安全漏洞,我啟動了 apache2,所有連線立即啟動。
看起來人們正在使用它作為代理伺服器,使用網址納夫它顯示了大量對論壇、廣告網站等的傳出請求。它執行如此多的請求,導致 CPU 上下跳動,最終伺服器崩潰。
有誰知道他們怎麼能做到這一點?看起來無論什麼伺服器在連接埠 80 上列出,這都是立即開始的。
這是 DDOS 攻擊嗎?人們如何使用我的伺服器作為代理,僅在連接埠 80 上列出軟體?
我安裝了hostsdeny並放氣(http://deflate.medialayer.com/),但問題仍然存在。
答案1
如果您的伺服器有真實流量,則這不是 DDOS 攻擊。
你所描述的應該是不可能的,但駭客可能仍然找到了方法。如果您的伺服器遭到破壞,那麼攻擊很可能是透過另一台受感染的電腦來自您的網路內部。
我建議重新格式化該伺服器的磁碟並重新安裝所有軟體。確保它受到外部和內部網路的防火牆保護。
您還應該驗證內部網路中能夠以任何方式存取此伺服器的所有計算機,並在將來限制更多此類存取。
請遵循以下有關 Apache 的文章(當然可以在其他地方找到更多資訊):
安全性提示 - Apache HTTP 伺服器
保護 Apache 配置的 20 種方法
關於強化 Linux 的文章很多,這裡只介紹幾篇:
答案2
這不是真正的主題,但我建議更新您的內核,因為 2.6.32-5 容易受到本地根漏洞攻擊。
但是您的伺服器可能已經被破壞並被用作某人的代理伺服器,如果您託管網站,請查看它是否有任何可疑的頁面。
還要安裝反rootkit軟體以防萬一。
如果您透過wireshark等程式查看流量,通常 DDoS 攻擊只會顯示為 SYN 請求
答案3
感謝大家的關注。
我終於寫信給我的託管公司並獲得了一組新的 IP,現在攻擊已經完全停止了。
我仍然對這些攻擊是如何完成的感到好奇,所以如果有人有任何意見 - 我仍然對一個好的答案感興趣。但現在這個問題對我來說已經解決了。
再次感謝。