我注意到我的 Ubuntu Xenial 服务器上有一些奇怪的东西。
它在默认端口上有 SSH,并且有 fail2ban。
Fail2ban 正在检测服务器上的蛮力尝试并相应地记录:
2017-01-12 10:58:19,927 fail2ban.filter [23119]: INFO [sshd] Found x.x.x.x
2017-01-12 11:03:27,808 fail2ban.filter [23119]: INFO [sshd] Found x.x.x.x
2017-01-12 11:08:37,936 fail2ban.filter [23119]: INFO [sshd] Found x.x.x.x
2017-01-12 11:13:51,538 fail2ban.filter [23119]: INFO [sshd] Found x.x.x.x
2017-01-12 11:18:57,939 fail2ban.filter [23119]: INFO [sshd] Found x.x.x.x
2017-01-12 11:24:10,399 fail2ban.filter [23119]: INFO [sshd] Found x.x.x.x
2017-01-12 11:29:23,161 fail2ban.filter [23119]: INFO [sshd] Found x.x.x.x
2017-01-12 11:34:34,064 fail2ban.filter [23119]: INFO [sshd] Found x.x.x.x
2017-01-12 11:39:44,540 fail2ban.filter [23119]: INFO [sshd] Found …我最近发现我的服务器被用作 DNS DDOS 的一部分。基本上,我的 BIND 设置允许递归,它被用来使用 IP 欺骗攻击某个 IP 地址。
我采取了必要的措施来阻止这种情况,并禁用递归。我不再是放大器,我想这解决了大问题,但我仍然收到大量查询,BIND 对所有查询都回复“拒绝”。
我只是想知道是否还有什么我可以做的。我想我可能会配置 fail2ban 来阻止它们,做一些类似于Debian 建议的事情,但根据其他网站和合理的逻辑,这并不理想,因为攻击者可以轻松地让我阻止任何 IP 访问我的服务器。
那么还有什么办法呢?或者我应该等待攻击者放弃?或者希望他们重新扫描并将我从放大器中除名?
我来自 VPS 的土地,所有这些云炒作都让我感到困惑。
过去 2 天我一直在阅读亚马逊 EC2 指南,但我仍然有一些我不理解的粗略点。
如果我使用 EBS 支持的 ubuntu AMI,那么 EBS 卷到底在哪里?这是根设备,对吧?
它有多坚持?我启用了终止保护,所以我应该担心任何数据丢失吗?我可以停止/启动(或在 ssh 上发出重启/关闭命令)实例而不用担心数据丢失吗?
我现在仍然在传统 VPS 上运行我的邮件和 Web 服务器,但希望逐渐迁移到云。如果我使用 EBS 支持的实例,它会像 VPS 一样工作吗?如果没有,有什么区别(显然,除了弹性、可扩展性等。只是在功能上是我想知道的)
还有一个问题,我注意到了安全组,如果我为一个实例配置了一个安全组,是否意味着我不再需要担心 iptables?
预先感谢您的耐心等待。
大家好,
上个月我很惊讶我的 EC2 实例(ubuntu 精确服务器),它应该仍然在免费层下,积累了大量流量......今天,在检查我当前的账单时,我注意到我已经有大量的流量,虽然还在月中,我担心到月底我的账单会是什么......
我安装了bandwidthd,几分钟后,我注意到大量的UDP流量到“108.162.233.15”。这显然是一个 cloudflare IP,我没有任何使用 cloudflare 的东西(据我所知)。
所以我运行“iftop”来查看正在使用的端口,我看到UDP流量从端口80到我的端口53......为什么网络服务器会查询dns?
所以我在我的服务器上停止了绑定,并在前台调试模式下运行它,看到以下查询,不断重复:
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: UDP request
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: request is not signed
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: recursion available
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' approved
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: send
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: sendto
17-Nov-2012 12:30:58.216 client 108.162.233.15#80: senddone
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: next
17-Nov-2012 12:30:58.217 client 108.162.233.15#80: endrequest
17-Nov-2012 12:30:58.217 client @0x7fbee05126e0: udprecv
17-Nov-2012 12:30:58.343 client 108.162.233.15#80: UDP …我不太了解 apache 配置中的 if 语句,我想知道是否可以仅在某个端口收到请求时才应用一部分配置。
简而言之,这是关于 SSL。我有基于名称的虚拟主机,我可以为端口 80 进行配置,然后为端口 443 复制所有内容,并添加相关的 SSL 配置。
但这似乎是多余的。我想知道我是否可以拥有类似的东西:
<VirtualHost *:80 *:443>
然后我可以放:
<IfModule mod_ssl.c>
SSLEngine on
SSLCertificateFile ...
SSLCertificateKeyFile ...
SSLCACertificateFile ...
</IfModule>
在检查连接是否在端口 443 上的 if 语句中......或者这样的事情是不可能的?服务器支持 SNI,我对非 SNI 兼容的浏览器没有任何担心。
amazon-ec2 ×2
bind ×2
fail2ban ×2
ubuntu ×2
amazon-ebs ×1
apache-2.2 ×1
cloud ×1
conditional ×1
ddos ×1
phishing ×1
security ×1
sni ×1
ssh ×1
ssl ×1
udp ×1
virtualhost ×1
vps ×1