我有一个安装了 Plesk 的 ubuntu V-Server,CPU 使用率为 100%。当我使用 htop 检查时,我发现有数百个 apache 进程正在运行。
我试图找出这些进程来自哪里。我发现我有两个域导致了这个问题。当我在 Plesk 中停用这些域时,我的 CPU 使用率下降到 1%。
因此我尝试使用 tcpdump 检查发生了什么,然后再次重新激活它。
在 tcpdump 中我收到了数千条这样的消息:
IP plesk.mydomain.de.http > 104-200-24-39.ip.linodeusercontent.com.43142: Flags [.], seq 2896:5792, ack 1, win 118, options [nop,nop,TS val 198370388 ecr 813058895], length 2896: HTTP
和
IP 104-200-24-39.ip.linodeusercontent.com.43048 > plesk.mydomain.de.http: Flags [.], ack 27025, win 1318, options [nop,nop,TS val 813059605 ecr 198370270], length 0
这个 IP 和端口104-200-24-39.ip.linodeusercontent.com.43142正在改变。
有什么提示可以告诉我那是什么以及我该怎么做吗?
我尝试使用 fail2ban,但我只能阻止 IP 地址...并且 IP 多次更改。
提前致谢。
答案1
我试过使用 fail2ban,但我只能阻止 Ip 地址……
这不太正确。Fail2ban 可以禁止所有内容,而不仅仅是 IP。
请参阅fail2ban :: wiki :: 如何禁止其他内容作为主机(IP 地址)、用户或邮件等。例如。但我认为你不需要它...
并且IP多次变化。
当然可以 - 如今大型僵尸网络都在进行暴力破解。但是如果某个 IP在几秒钟maxretry内被发现findtime,该 IP 将在 fail2ban 中被禁止。此外,bantime.increment = true它可能会有所帮助,因为它还会减少尝试次数并延长被称为坏重复 IP 的禁令时间,稍后(解禁后)重复攻击。
您所需要的只是找到一个日志文件或日志,其中 plesk 记录了失败的尝试或攻击,写入failregex匹配的失败并创建一个监控该日志的监狱。