我注意到了以下很多情况:
Firewall: *TCP_OUT Blocked* IN= OUT=eth0 SRC=ME DST=OUT LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=44395 DF PROTO=TCP SPT=55901 DPT=10080 WINDOW=14600 RES=0x00 SYN URGP=0
我如何才能知道哪个网站正在发起此类攻击?
PHP 在 CloudLinux 中作为 fast_cgid 运行。
答案1
如果,正如你的日志似乎表明该数据包源自您的系统,那么您需要弄清楚的不是“哪个网站正在发送这样的攻击”,而是您的系统上什么(或谁)正在生成流量。
现在,TCP 端口 10080 是 Amanda 备份系统最常使用的端口。如果您已将 Amanda 设置为将您的服务器备份到远程主机,那么这可能是造成流量的原因(如果它被阻止,那么您的备份将无法正常工作!)。
(一些 PC 游戏也使用 TCP 端口 10080,但我假设您不是在这台 Linux 机器上玩 PC 游戏……)
要找出谁发起了连接,请修改每个防火墙日志记录规则以添加--log-uid
。然后,发起连接的用户 ID 将被记录为UID=###
。示例:
iptables ..... -j LOG --log-uid ...