今天早些时候,我收到托管服务提供商的一封电子邮件,说我的服务器正在遭受 DDoS 攻击。我在日志文件中发现许多可疑请求,其中包含一些随机的网站名称,例如 dekhockeyvicto.com、workout.de 和非常奇怪的网站名称。dish_fiber.dedicated:
13/Sep/2017:10:35:21 +0300] "GET http://dish_fiber.dedicated/alogin?dst=http%3A%2F%2Fviewdns.info%2Freverseip%2F%3Fhost%3Ddekhockeyvicto.com%26amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bt%3D1 HTTP/1.1" 400 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36"
52.119.20.4 - - [13/Sep/2017:10:56:46 +0300] "GET http://dish_fiber.dedicated/alogin?dst=http%3A%2F%2Fviewdns.info%2Freverseip%2F%3Fhost%3Dworkout.de%26amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bt%3D1 HTTP/1.1" 400 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36"
这是什么?是 DNS 洪水类型的 DDoS 攻击还是其他什么?请帮忙。
答案1
欢迎来到互联网。
有人试图使用您的服务器作为代理来攻击其他人的机器。这看起来不像是对您的服务器的 DOS 攻击。
由于唤醒人民的尝试已经足够频繁您正在付费以获得此支持这反而意味着攻击者取得了一些成功。但是您的服务器似乎正确地响应了 400 响应,拒绝了请求。
只要您没有使用自定义错误处理程序(它会返回大量内容)之类的愚蠢做法,您就无能为力。这并不完全正确 - 但从您的问题中,我感觉您没有技能、预算和托管来解决这个问题。
答案2
成为 DDoS 攻击的受害者并不一定会在日志中产生任何内容:它只会耗尽网络带宽,这会让你的托管服务提供商感到担忧。如果你的服务器被使用为了这样的攻击,您可能会从日志中发现入侵的证据或产生流量的活动。
当你收到这种通知并开始阅读之前没有研究过的日志时,你会发现各种各样的无关异常。我对旧车也有同样的心理问题:每当我相信某样东西可能出了问题时,甚至所有我应该熟悉的声音听起来都是新的和令人警惕的。同样,您的日志中总是有各种异常查询。