我有一个安装了 Ubuntu 12.04 的 VPS,每月限制为 35Gb(超过这个限制就得付费)。我通常将它与 Zpanel 一起使用来托管 Joomla 网站,并保持邮件端口关闭。没有 FTP,我为 SSH 设置了一个特殊端口,并阻止了端口扫描。
大约一天前,我注意到带宽使用量在很短的时间内飙升至 3Gb 左右,此后大约 2-3 个小时内上下波动。我停止了 apache2 服务,看看它是否能阻止这种情况再次发生。我查看了今天的带宽使用量,发现它在几分钟内飙升至 1Gb 以上,并在其周围几个小时内出现了较小的高带宽使用量突发事件。
好的,现在(2014 年 10 月 10 日),我注意到来自端口 48334 的大量流量非常快地访问了加利福尼亚州另一个 IP 地址上的一堆看似随机的端口。到目前为止,这在很短的时间内(大约一个小时左右)耗费了我大约 6.5GB 的流量。这是在 Apache2 重新开启的情况下发生的。
我的主要问题是,如何限制每个连接使用的带宽以防止出现如此巨大的峰值?
我的第二个问题是,即使我已经停止了 apache2 并且没有打开邮件端口或 FTP,这又是什么原因造成的?我刚刚安装了 IPTraf 并将其设置为监控和记录流量。
答案1
ZPanel 10.1.0 中存在安全漏洞,导致服务器可用作 DDOS 僵尸网络的一部分。这就是为什么服务器会显示问题中显示的奇怪活动以及其他问题(包括问题中未提及的 SQL 问题)。由于服务器已被入侵,因此解决此问题的最佳方法是完全重新开始,而不是安装不安全的 ZPanel 版本。
资料来源: https://chunkhost.com/blog/16%2Fhuge_security_hole_in_zpanel_10_1
http://blog.0xlabs.com/2014/zpanel-10-1-0-unauthenticated-remote-root/