标签: hacking

我在网络服务器上托管了一堆 PHP 网站。虽然我已采取所有预防措施来保护所有端口，但特定于端口 80 的攻击仍在继续。我想禁止任何对任何网页产生积极兴趣的 IP 地址，例如在一小时内超过 200 个，或在一分钟内超过 15 个。我假设人类用户不能在一分钟内浏览 15 个页面，除非他有确实值得怀疑的原因。

理想情况下，我希望将 IP 地址登录到被禁止的数据库中，并且对于属于我的客户的那些 IP 地址也有一个白名单 IP 地址。

是否有任何现成的工具可以完成所有这些工作。我看到了fail2ban，它没有达到目的......

我怀疑我的一台服务器前段时间受到了攻击。我的问题是如何在受到攻击时或攻击完成后识别 DOS 或 DDOS 攻击？

可能重复：
我的服务器被黑了 紧急情况

我通过 Rackspace Cloud Server 在 Ubuntu 上运行了几个站点。我的站点通常每天使用大约 3 GB 的出站带宽。今天，我震惊地发现，在过去的一周里，我的服务器每天记录 2 TB的出站带宽。这显然是完全不正常的，让我失去了一条胳膊和一条腿。有趣的是，awstats 显示我的网站一直在使用典型的带宽量，因此是其他原因导致了这种荒谬的峰值。

我怀疑我的网站被黑了。我运行了 root 检查，浏览了我的服务器日志，并没有发现任何可疑之处。你们对我还能做些什么来解决这个问题有什么想法吗？

有没有人有在 Linux 网络服务器上运行杀毒软件的经验，尤其是 CentOS，你有什么推荐？我有兴趣将它放在我们拥有的 Web 服务器上，作为检测和防止网站入侵的另一种方法（比整个服务器受损更重要，尽管这也很好）。虽然理想情况下所有网站都具有完美的安全性，但最好再采取一项安全措施，因为事情很少是完美的。

过去，我曾看到卡巴斯基在 Windows 机器上运行时捕获恶意 JavaScript 文件，这使我走向了它，因为他们有一个支持 CentOS 的 Linux 产品，但如果有更好的东西我也会感兴趣，或者如果有人有不好的经历有了它，请分享。

我更喜欢有商业支持的大牌，所以他们有资源和时间来应对最大的威胁，但是如果有人尝试过 ClamAV 和一个或多个商业的，并认为 ClamAV 更好（或有其他理由说 ClamAV 更好），我肯定有兴趣知道。

谢谢！

所以我被一个脚本小猫击中了......幸运的是，这个盒子是 Ubuntu 并且能够替换来自类似系统的二进制文件，但是，

我无法删除的一些文件，仍然难倒这个。被劫持的文件位于root/_bin可写的目录中。

nathan@db-0:~$ ls -ld !$
ls -ld /_bin
drwxr-xr-x 2 root root 4096 Mar 12 18:00 /_bin

好的，这些是目录上的权限，现在是其中的文件：

nathan@db-0:~$ ls -l /_bin
total 268
-rwxr-xr-x 1 root root  39696 Nov 19 22:25 ls
-rwxr-xr-x 1 root root 119800 Mar 31  2012 netstat
-rwxr-xr-x 1 root root 101240 Dec 12  2011 ps

现在，当我尝试删除这些文件之一（以 root 身份）时：

root@db-0:/home/nathan# rm /_bin/ls
rm: cannot remove `/_bin/ls': Operation not permitted

或者，如果我尝试删除整个_bin目录（再次以 root 身份）：

root@db-0:/home/nathan# …

我看到 GET 请求如下：

"GET /assets/)!==t&&(e.html(e.data( HTTP/1.1" 200 3538 "-" "Java/1.7.0_25"

在我的日志中，用于托管 Rails 应用程序的盒子。看起来很可疑，就像有人在探查应用程序，但不能确定。

有什么建议？