那些遇到过的问题

我应该怀疑这种行为吗?

Iva*_*van -1 linux attacks

我的网站用户发现有时服务器性能不像以前那样(基本上他们说通常立即加载的页面现在可能需要 3 秒以上)。这会发生 15-30 分钟,然后服务器再次响应。

今天,就在发生这种情况时,一位用户警告了我。我有时间以 root 身份运行几个命令,这就是我发现的:

root@[redacted]:~# netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
    22 185.25.18.43
     4 79.153.178.230
     3 83.45.74.248
     2 83.59.9.137
     1 77.89.254.178
     1 77.89.252.156
     1 77.89.252.149
     1 209.85.160.41
root@[redacted]:~# netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
root@[redacted]@~# netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
     1 142.166.98.36
     1 180.76.5.194
     1 79.151.200.177
     1 83.59.9.137
     1 91.121.82.227
    22 185.25.48.43
    29
root@[redacted]:~# uptime
    10:53:26 up 133 days, 11 min,   1 user,   load average: 28.82, 29.89, 20.97
Run Code Online (Sandbox Code Playgroud)

5 分钟后,正常运行时间为:3.07 13.60 19.44现在所有值都低于 4,并且没有来自 185.25.48.43 的连接。

可疑 IP 185.25.48.43 的 whois 是:

 [Querying whois.arin.net] [Redirected to whois.ripe.net:43] [Querying
 whois.ripe.net] [whois.ripe.net] % This is the RIPE Database query
 service. % The objects are in RPSL format. % % The RIPE Database is
 subject to Terms and Conditions. % See
 http://www.ripe.net/db/support/db-terms-conditions.pdf

 % Note: this output has been filtered. %       To receive output for a
 database update, use the "-B" flag.

 % Information related to '185.25.48.0 - 185.25.48.63'

 % Abuse contact for '185.25.48.0 - 185.25.48.63' is
 'abuse@bacloud.com'

 inetnum:        185.25.48.0 - 185.25.48.63 netname:        IST-NET
 descr:          Informacines sistemos ir technologijos, UAB country:  
 LT admin-c:        BAC2006-RIPE tech-c:         BAC2006-RIPE status:  
 ASSIGNED PA mnt-by:         BACLOUD-MNT source:         RIPE #
 Filtered

 role:           BACLOUD NOC address:        Informacines sistemos ir
 technologijos, UAB address:        Pramones 15 address:       
 LT-78137 Siauliai address:        Lithuania phone:          +370 41
 210000 phone:          +370 52 044044 fax-no:         +370 65 002611
 admin-c:        NB5547-RIPE tech-c:         TM9791-RIPE nic-hdl:      
 BAC2006-RIPE abuse-mailbox:  abuse@bacloud.com mnt-by:        
 BACLOUD-MNT source:         RIPE # Filtered

 % Information related to '185.25.48.0/22AS61272'

 route:          185.25.48.0/22 descr:          BACLOUD-COM origin:    
 AS61272 mnt-by:         AS61272-MNT source:         RIPE # Filtered

 % This query was served by the RIPE Database Query Service version
 1.70.1 (WHOIS3)
Run Code Online (Sandbox Code Playgroud)

这是来自立陶宛的云服务,这使得它更加可疑,因为我的所有用户都说西班牙语(这是一个西班牙语网站)。

问题是:185.25.48.43 是否在攻击我的服务器?我该怎么办?

编辑:在查看我的 之后access.log,这个 IP 试图通过这些请求访问我的所有网站:

site1.es:80 185.25.48.43 - - [27/Jan/2014:10:38:11 +0100] "GET /?author=2 HTTP/1.1" 200 16569 "http://site1.es/?author=2" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
inusion.es:80 185.25.48.43 - - [27/Jan/2014:10:38:03 +0100] "GET /wp-login.php HTTP/1.1" 200 2551 "http://inusion.es/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
site1.es:80 185.25.48.43 - - [27/Jan/2014:10:38:12 +0100] "GET /?author=3 HTTP/1.1" 200 16569 "http://site1.es/?author=3" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
site2.com:80 185.25.48.43 - - [27/Jan/2014:10:38:03 +0100] "GET /wp-login.php HTTP/1.1" 200 2811 "http://site2.com/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
site3.com:80 185.25.48.43 - - [27/Jan/2014:10:38:03 +0100] "GET /wp-login.php HTTP/1.1" 200 2811 "http://site3.com/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
Run Code Online (Sandbox Code Playgroud)

它似乎在寻找 Wordpress 博客。

Kat*_*ard 5

我的猜测是立陶宛的一个脚本小子正在寻找各种 IP 上的 WordPress。没有在您的网站上找到它,他可能会继续前进。 这种事情一直在发生,可能不是你高负荷的原因。

还有,symcbean 说什么。

归档时间:

查看次数:

2791 次

最近记录:

11 年,7 月 前
相关归档
Windows 管理员希望从 Linux (ubuntu) 文件服务器开始 12
在没有 VPN 的情况下使用私有 IP 访问 Linux 服务器 7
是否可以使用 ebtables 通过简单以太网接口上的 MAC 地址过滤流量,而无需桥接? 5
有谁知道哪里可以找到 NFS4 ACL 的好资源? 5
如何通过终端访问网页? 5
在 Linux 系统上直接格式化设备 3
如何授予用户运行“sudo sh”而无需输入密码? 1
为什么我在全新的 Ubuntu 16.04 安装上升级内核时遇到问题? 1
Linux 服务器停止响应 0
Zabbix Appliance 3.0 的默认 root 密码是什么? -2
难疑归档
周一早上的错误:sudo rm -rf --no-preserve-root / 149
如何更改 EC2 实例的安全组 120
通配符 SSL 证书是否应该同时保护根域和子域? 97
当源文件不存在时,如何让“cp”命令不触发错误? 84
系统管理员团队如何安全地共享密码? 83
如何使用fail2ban显示所有被禁止的IP? 79
如何在 Debian 系统上检查修改的配置文件? 68
IIS 抱怨一个锁定的部分 - 我怎样才能找到它被锁定的地方? 65
试图在 Route53 中创建 2 个记录集类型=TXT 53
如何中断软件raid重新同步? 52