我在 hetzner.de 有一个 vps,其中 vmware 运行着几个实例,其中一个是 Ubuntu 服务器 13.10,主要用作几个网站的 mysql 服务器。今天我收到了一封来自 hetzner 的电子邮件,说他们收到了垃圾邮件/滥用通知:
我的 IP xx.xx.xx.xx 正在被你们的网络攻击 所有攻击我的 IP 都属于 Hetzner 攻击速度超过 1gbit\s
PROTO=UDP SPT=10000 DPT=80 DST=xx.xx.xx.xx
攻击我的 IP 地址:2 月 9 日 19:27:07 srv1 内核:[112.236968] 防火墙:*UDP_IN Blocked* IN=eth0 OUT= MAC=yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy SRC=zz.zz.zz.zz DST=xx.xx.xx.xx LEN=1396 TOS=0x00 PREC=0x00 TTL=246 ID=22304 PROTO=UDP SPT=10000 DPT=80 LEN=1376
我正在使用 UFW,这是“ufw status”的结果:
34/tcp 允许任何地方
22/tcp 允许任何地方
3306/tcp 允许 aa.aa.aa.aa
3306/tcp 允许 bb.bb.bb.bb
3306/tcp 允许 cc.cc.cc.cc
3306/tcp 允许 dd.dd.dd.dd
34/tcp 允许任何地方 (v6)
22/tcp 允许任何地方 (v6)
端口 22 和 34 用于仅使用私钥访问的 ssh。端口 3306 用于来自 Web 服务器和开发人员计算机的 mysql 连接
我在 auth.log 中没有看到任何异常
有人能帮我解决这个问题吗?
谢谢
答案1
我收到了类似的信件[电子邮件保护]昨天。它有来自“被攻击”管理员的文字作为您的信件。
我检查了我的服务器 - 一切正常。没有非法活动。
我觉得有人想拿 Hetzner 滥用支持开玩笑。或者想关闭一些服务器。
答案2
根据进一步的研究和 hetzner 的反馈,这似乎是一个 IP 欺骗问题,即:虚假的源 IP 信息。
看起来攻击者使用(伪造的)hetzner ips 作为攻击数据包的源 ip。
因此,如果您没有发现任何问题,那么对于我们来说这似乎都是虚惊一场。
答案3
是的。我也在分析 2 月 9 日的传出流量。没有 DOS 活动。
Hetzner 滥用支持并攻击管理员没有对我的信件做出回应。
我担心我的服务器会因意外而从外部网络关闭。Hetzner 之所以采取这一措施是因为客户端服务器受到 DOS 攻击或客户端服务器受到 DOS 攻击。