今天有人打电话给我说他收到了来自我服务器 IP 的端口扫描和大量请求。
我确实在日志中看到 HTTPD 请求的内存使用率很高。但是,我如何才能将其追溯到受感染的网站?
我使用了 Apache 域日志,但没有发现任何异常。
答案1
如果有人报告你的机器有异常流量,你可能确实想在采取下一步行动之前确认它是否被入侵处理妥协(总结:重建)。如果疑似攻击与端口扫描和其他僵尸网络流量有关,则将流量镜像到正在运行协议嗅探器的另一台主机,并查找任何不正常的情况,基本上就是任何非 HTTP 流量。如果您在那里看到妥协的迹象,那么您就知道要按照轨道计划将其消灭。