过去两天,我的网站 VPS 服务器出现了问题。这台服务器连续两天受到 TCP Syn Flood 攻击,这当然导致提供商端断开了与这台服务器的连接。
昨天我在寻找问题,并尝试了以下所有方法:
- 更新防火墙设置
- 更新用户密码
- 寻找港口的通讯(显然袭击不是由他们发动的)
- 查找 rootkit
- 在 /tmp 中查找恶意代码
- 查找休眠进程和守护进程(ps faxu)并检查列表中的所有内容
但什么也没找到,午夜时分,袭击再次开始……现在无助了,不知道该寻找什么。有什么想法吗?
提到的网站是基于框架的定制解决方案,因此不存在错误插件之类的问题。操作系统是 Ubuntu 14.04 LTS。