我有一个 Debian 服务器(内核:2.6.32-5-amd64)。
我通常在它上面运行一个 jetty 服务器,但最近它开始收到大量连接。它不应该收到这么多流量,因为它是一个不太知名的服务器。
跑步:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
输出数百个 IP。我尝试将它们全部添加到 iptables 删除列表中,但新的 IP 不断出现。
然后我继续停止 Jetty,所有连接都断了。为了确保这不是 Jetty 中的错误/安全漏洞,我启动了 apache2,所有连接立即恢复。
看起来人们正在使用它作为代理服务器,使用urlsnarf它显示有大量向论坛、广告网站等发出的请求。它发出了如此多的请求,以至于 CPU 不断跳动,最终导致服务器崩溃。
有人知道他们如何做到这一点吗?似乎无论哪个服务器在端口 80 上列出,这都会立即开始。
这是 DDOS 攻击吗?人们怎么会使用我的服务器作为代理,而软件只在端口 80 上列出?
我已经安装了 hostsdeny 并且 deflate (http://deflate.medialayer.com/),但问题仍然存在。
答案1
如果有真实的流量通过您的服务器,这并不是 DDOS 攻击。
您所描述的情况应该不可能发生,但黑客可能仍然找到了方法。如果您的服务器被入侵,那么攻击很可能来自您的网络内部,通过另一台受感染的计算机进行。
我建议重新格式化该服务器的磁盘并重新安装所有软件。确保它与外部和内部网络均有防火墙。
您还应该验证内部网络中所有可以以任何形式访问该服务器的计算机,并在将来限制任何此类访问。
请遵循以下有关 Apache 的文章(在其他地方肯定可以找到更多信息):
安全提示 - Apache HTTP 服务器
保护 Apache 配置的 20 种方法
关于强化 Linux 的文章有很多,这里仅列举几篇:
答案2
这并不是真正的主题,但我建议更新你的内核,因为 2.6.32-5 容易受到本地根攻击。
但是您的服务器可能已经被入侵并被某人用作代理服务器,如果您托管网站,请仔细查看是否有任何可疑的页面。
另外,还请安装反 rootkit 软件以防万一。
通常,如果你通过 wireshark 等程序查看流量,DDoS 攻击只会显示为 SYN 请求
答案3
感谢大家的关注。
我最终写信给我的托管公司并获得了一组新的 IP,现在攻击已经完全停止了。
我仍然对这些攻击是如何发生的感到好奇,所以如果有人有任何意见 - 我仍然对一个好的答案感兴趣。但现在问题已经解决了。
再次感谢。