我有一台運行多個 Web 主機(全部由內部管理)的伺服器,這似乎是昨晚的 Dos 攻擊的主題。我在 IPTABLES 中封鎖了輸入鍊和輸出鏈的攻擊 IP。這似乎解決了問題,我就回家了。
今天早上,伺服器再次死機 - 這次從 netstat 看來,它正在向攻擊 IP 發送多個 SYN。 明顯地它們被 IPTABLES OUTPUT 鏈丟棄,但堆疊中的數量太多,導致失敗。
我擔心伺服器正在向攻擊者發送 syn。據推測,它正在嘗試在連接埠 80 上與攻擊者 IP 建立新的出站連接,但為什麼呢?這是否意味著伺服器已受到威脅?我怎樣才能找到造成這種情況的原因?我嘗試過 netstat -p 但它只將傳出嘗試的所有者顯示為 httpd。
Web 目錄中有一些大型網站,因此我嘗試在所有 Web 檔案中尋找攻擊者 IP 需要幾天時間。
怎麼辦?
提前謝謝了....
答案1
伺服器/虛擬主機可能會受到損害,並且該網站可能會嘗試下載其他 shell/後門/指令。很難說如何找出哪一家虛擬主機。
如果您無法在生產伺服器上執行 grep,則可以嘗試在備份伺服器上執行 grep。與日誌相同。
或只是查看過去 24-48 天修改的檔案。
如果 httpd=Apache,您可能會嘗試從 netstat 取得 pid,然後嘗試在伺服器狀態輸出中進行配對(如果 IP 被刪除,則該伺服器執行緒可能會運行很長時間,直到 wget/curl/whatever 逾時) )。
您也可以嘗試在 httpd 日誌中尋找回應時間很長的請求(您必須修改日誌格式,因為通常兩個 Web 伺服器都不會記錄請求時間)