5

У меня есть сервер Debian (ядро: 2.6.32-5-amd64).

Я обычно запускаю на нем джетти-сервер, но в последнее время он начал получать тонны подключений к нему. Он не должен получать весь этот трафик, так как это довольно неизвестный сервер.

Бег:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Вывод сотен IP-адресов. Я пытался добавить их все в выпадающий список iptables, но новые IP-адреса продолжают появляться.

Затем я пошел дальше и остановил Jetty, и все соединения там исчезли. Чтобы убедиться, что это не баг / дыра в безопасности в Jetty, я запустил apache2, и все соединения начались сразу.

Похоже, что люди используют его в качестве прокси-сервера, используя urlsnarf, который показывает тонны исходящих запросов на форумы, рекламные сайты, и вы называете это. Он делает так много запросов, что процессор подпрыгивает вверх и вниз, и в конечном итоге сервер в конечном итоге падает.

Кто-нибудь знает, как они могут это сделать? Это выглядит так, как если бы сервер указывал на порт 80, это сразу начинается.

Это атака DDOS? Как люди используют мой сервер в качестве прокси, только со списком программного обеспечения на порту 80?

У меня есть hostsdeny и установлен deflate (http://deflate.medialayer.com/), но проблема остается.

Если вы подозреваете или имеете какое-либо представление о том, как решить эту проблему, я был бы очень благодарен.

Если мне нужно предоставить больше данных, дайте мне знать.

Заранее спасибо

3 ответа3

1

Это не совсем по теме, но я бы посоветовал обновить ваше ядро, так как 2.6.32-5 уязвим для локального эксплойта root.

Но ваш сервер уже может быть скомпрометирован и использоваться как прокси-сервер для кого-то, если вы размещаете веб-сайт, посмотрите его на наличие подозрительных страниц.

Также установите анти-руткит программного обеспечения просто в случае.

Обычно DDoS-атаки будут отображаться как запросы SYN, если вы просматриваете трафик через такую программу, как wireshark

1

Это не атака DDOS, если через ваш сервер идет реальный трафик.

То, что вы описываете, не должно быть возможным, но хакеры, возможно, все же нашли способ. Если ваш сервер был взломан, то более вероятно, что атака была совершена из вашей сети через другой зараженный компьютер.

Я бы предложил переформатировать диск этого сервера и переустановить все программное обеспечение. Убедитесь, что он защищен от внешних и внутренних сетей.

Вам также следует проверить все компьютеры в вашей внутренней сети, которые имеют доступ к этому серверу любого типа, и в будущем ограничить такой доступ.

Следуйте приведенным ниже статьям для Apache (дополнительную информацию можно найти в другом месте):

Советы по безопасности - Apache HTTP Server
20 способов защитить вашу конфигурацию Apache

Есть много статей по усилению Linux, так что вот только пара:

20 Linux Server Советы по усилению безопасности
Контрольный список по усилению защиты Red Hat Linux Server

0

Спасибо за все внимание.

Я наконец написал своей хостинговой компании и получил новый набор IP, теперь атаки полностью прекратились.

Я до сих пор интересуюсь тем, как эти атаки были проведены, поэтому, если у кого-то есть какие-либо комментарии, я все еще заинтересован в хорошем ответе. Но пока проблема для меня решена.

Еще раз спасибо.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .