从很多天前,甚至几个月前开始,我的一台服务器几乎每天都会崩溃。有时一天不止一次。![替代文本][1]
这让我非常担心。
/vars/log/messages 中的很多内容都是如下几行:
Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=33286 DF PROTO=TCP SPT=4957 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=14135 DF PROTO=TCP SPT=4959 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=63643 DF PROTO=TCP SPT=4958 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:36:26 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=4301 DF PROTO=TCP SPT=4960 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:39:10 host kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=218.30.22.82 DST=00.000.000.000 LEN=404 TOS=0x00 PREC=0x00 TTL=116 ID=34607 PROTO=UDP SPT=1271 DPT=1434 LEN=384
Oct 8 13:40:14 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=119.152.144.40 DST=00.000.000.000 LEN=56 TOS=0x00 PREC=0x00 TTL=49 ID=23737 DF PROTO=TCP SPT=2435 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0
请注意,我将我的服务器的 IP 替换为 00.000.000.000。
我经常收到很多有关暴力攻击的日志消息。登录尝试失败...
有人能给我一些关于如何解决这个问题的想法吗?
我已经安装了 CSF 和 DDOS deflate。但它们并没有解决问题。
我的服务器是 Cent OS,Apache2
答案1
看起来有人正在尝试通过 telnet (DPT=23) 和 SQL(DPT=1434) 端口进行连接,这些端口确实不应该暴露在互联网上。我会在防火墙上完全过滤它们。这至少应该可以清理您的日志,如果服务器不断崩溃,您可以尝试看看是否是其他原因。
答案2
由于这些连接被阻止,因此不会对 DDOS 造成危害。日志只是为了让您知道谁试图攻击您。当打开的半连接数量接近您在配置中指定的限制时,就会造成危害。我建议您遵循 Zypher 的建议,让您的防火墙控制这些连接。