用户apache下CSF LFD可疑进程

用户apache下CSF LFD可疑进程

我认为我的服务器通过 HTTP(端口 80)遭受了 DOS 攻击。

当我检查 apache 访问日志时,它显示特定 IP 在一分钟内请求 /GET/HTTP1.1 超过 150 次。

我一直在尝试通过 CSF 限制每个 IP 的连接。

但是,在我安装并配置 CSF 之后,我不断收到很多这样的通知电子邮件:

时间:2014 年 5 月 18 日(星期日)22:34:40 +0700
PID:11727(父 PID:1636)
帐户:apache
正常运行时间:73 秒


可执行文件:

/usr/sbin/httpd


命令行(通常在漏洞利用中被伪造):

/usr/sbin/httpd


按进程连接的网络连接(如果有):

tcp6:0.0.0.0:80 -> 0.0.0.0:0
tcp6:0.0.0.0:443 -> 0.0.0.0:0
TCP:127.0.0.1:57790 -> 127.0.0.1:11211


进程打开的文件(如果有):

/dev/null
/dev/null
/var/log/httpd/错误日志
/dev/urandom
/var/log/virtualmin/xxx.com_error_log
/var/log/virtualmin/xxx.net_error_log
/var/log/virtualmin/xxx.com_error_log
/var/log/httpd/ssl_error_log
/var/log/httpd/access_log
/var/log/virtualmin/xxx.com_access_log
/var/log/httpd/ssl_access_log
/var/log/httpd/ssl_request_log
anon_inode:[事件轮询]
anon_inode:[事件轮询]
/dev/urandom
anon_inode:[事件轮询]


按进程划分的内存映射(如果有):

7fb758000000-7fb758021000 rw-p 00000000 00:00 0
7fb758021000-7fb75c000000 ---p 00000000 00:00 0
......
7fb765fad000-7fb7669ad000 rw-p 00000000 00:00 0
7fb79bcfd000-7fb79d2f2000 rw-p 00000000 00:00 0

正如我上面所说,我只想限制连接,所以我只修改了 csf.conf 中的 CT_LIMIT 和传入/传出端口

我知道在 csf.pignore 上添加执行路径可能会解决问题,但这也会违背安装 CSF 的目的。

我的服务器规格:

Centos 6.3 64 位
内存 6 GB
4 核
Memcached 安装在端口 11211
带有 Prefork MPM 的 Apache:
  启动服务器 8
  最小备用服务器数 8
  最大备用服务器数 16
  服务器限制 100
  最大客户数 100
  每个子项的最大请求数 4000
  超时 60
  保持活动状态
  最大KeepAliveRequests 1000
  KeepAliveTimeout 2

MySQL
仅用于托管 WordPress

我不知道发生了什么事。有人能告诉我吗?

相关内容