我的网站用户发现,有时服务器性能不如以前(基本上他们说一个页面通常会立即加载,但现在可能需要 3 秒以上)。这种情况会持续 15-30 分钟,然后服务器就会再次响应。
今天,一位用户在发生这种情况时警告了我。我有时间以 root 身份运行几个命令,结果如下:
root@[redacted]:~# netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
22 185.25.18.43
4 79.153.178.230
3 83.45.74.248
2 83.59.9.137
1 77.89.254.178
1 77.89.252.156
1 77.89.252.149
1 209.85.160.41
root@[redacted]:~# netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
root@[redacted]@~# netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
1 142.166.98.36
1 180.76.5.194
1 79.151.200.177
1 83.59.9.137
1 91.121.82.227
22 185.25.48.43
29
root@[redacted]:~# uptime
10:53:26 up 133 days, 11 min, 1 user, load average: 28.82, 29.89, 20.97
5 分钟后正常运行时间为:3.07 13.60 19.44现在所有值均低于 4,并且没有来自 185.25.48.43 的连接。
可疑 IP 185.25.48.43 的 whois 信息如下:
[Querying whois.arin.net] [Redirected to whois.ripe.net:43] [Querying
whois.ripe.net] [whois.ripe.net] % This is the RIPE Database query
service. % The objects are in RPSL format. % % The RIPE Database is
subject to Terms and Conditions. % See
http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered. % To receive output for a
database update, use the "-B" flag.
% Information related to '185.25.48.0 - 185.25.48.63'
% Abuse contact for '185.25.48.0 - 185.25.48.63' is
'[email protected]'
inetnum: 185.25.48.0 - 185.25.48.63 netname: IST-NET
descr: Informacines sistemos ir technologijos, UAB country:
LT admin-c: BAC2006-RIPE tech-c: BAC2006-RIPE status:
ASSIGNED PA mnt-by: BACLOUD-MNT source: RIPE #
Filtered
role: BACLOUD NOC address: Informacines sistemos ir
technologijos, UAB address: Pramones 15 address:
LT-78137 Siauliai address: Lithuania phone: +370 41
210000 phone: +370 52 044044 fax-no: +370 65 002611
admin-c: NB5547-RIPE tech-c: TM9791-RIPE nic-hdl:
BAC2006-RIPE abuse-mailbox: [email protected] mnt-by:
BACLOUD-MNT source: RIPE # Filtered
% Information related to '185.25.48.0/22AS61272'
route: 185.25.48.0/22 descr: BACLOUD-COM origin:
AS61272 mnt-by: AS61272-MNT source: RIPE # Filtered
% This query was served by the RIPE Database Query Service version
1.70.1 (WHOIS3)
这是来自立陶宛的云服务,这让它更加可疑,因为我的所有用户都说西班牙语(这是一个西班牙网站)。
问题是:185.25.48.43 是否正在攻击我的服务器?我该怎么办?
编辑:查看我的后access.log,发现此 IP 尝试通过以下类型的请求访问我的所有网站:
site1.es:80 185.25.48.43 - - [27/Jan/2014:10:38:11 +0100] "GET /?author=2 HTTP/1.1" 200 16569 "http://site1.es/?author=2" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
inusion.es:80 185.25.48.43 - - [27/Jan/2014:10:38:03 +0100] "GET /wp-login.php HTTP/1.1" 200 2551 "http://inusion.es/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
site1.es:80 185.25.48.43 - - [27/Jan/2014:10:38:12 +0100] "GET /?author=3 HTTP/1.1" 200 16569 "http://site1.es/?author=3" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
site2.com:80 185.25.48.43 - - [27/Jan/2014:10:38:03 +0100] "GET /wp-login.php HTTP/1.1" 200 2811 "http://site2.com/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
site3.com:80 185.25.48.43 - - [27/Jan/2014:10:38:03 +0100] "GET /wp-login.php HTTP/1.1" 200 2811 "http://site3.com/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
它似乎正在寻找 Wordpress 博客。
答案1
我猜立陶宛的脚本小子正在各种 IP 上寻找 WordPress。他在你的网站上找不到,所以他可能会继续寻找。 这种事经常发生,可能不是导致负载过高的原因。
还有,symcbean 所说的。
答案2
提供的信息远远不够,无法确定该 IP 地址是否是导致问题的原因,也无法确定问题是什么(因此投票关闭)。这并不是邀请您提供更多信息 - 这个问题太复杂了,无法在这里回答。
如果我们假设 IP 地址是高负载的原因(假设它很高 - 您没有说硬件配置是什么)那么阻止网络范围可能是个好主意。
Fail2ban 对于自动化这种响应非常有用,但您仍然需要自己实现检测部分。