Bol*_*lli 5 networking linux security debian
我有一台 Debian 服务器(内核:2.6.32-5-amd64)。
我通常在它上面运行一个码头服务器,但最近,它开始获得大量连接。它不应该得到所有这些流量,因为它是一个非常未知的服务器。
跑步:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
输出数百个IP。我尝试将它们全部添加到 iptables 下拉列表中,但新 IP 不断出现。
然后我继续并停止了 Jetty,所有连接都消失了。为了确保这不是 Jetty 中的错误/安全漏洞,我启动了 apache2,所有连接都立即启动。
看起来人们将它用作代理服务器,使用urlsnarf它向论坛、广告网站显示大量传出请求,您可以命名它。它执行了如此多的请求,以至于 CPU 上下跳动,最终服务器崩溃。
有谁知道他们如何做到这一点?似乎任何服务器在端口 80 上列出,这立即开始。
这是 DDOS 攻击吗?人们如何使用我的服务器作为代理,仅在端口 80 上列出软件?
我已经安装了 hostsdeny 并放气(http://deflate.medialayer.com/),但问题仍然存在。
如果您的服务器有真实流量,则这不是 DDOS 攻击。
你所描述的应该是不可能的,但黑客可能仍然找到了方法。如果您的服务器遭到破坏,那么攻击很可能是通过另一台受感染的计算机来自您的网络内部。
我建议重新格式化该服务器的磁盘并重新安装所有软件。确保它受到外部和内部网络的防火墙保护。
您还应该验证内部网络中能够以任何方式访问此服务器的所有计算机,并在将来限制更多此类访问。
请遵循以下有关 Apache 的文章(当然可以在其他地方找到更多信息):
安全提示 - Apache HTTP Server
保护 Apache 配置的 20 种方法
关于强化 Linux 的文章有很多,这里仅介绍几篇:
20 个 Linux 服务器强化安全提示
红帽 Linux 服务器强化清单
| 归档时间: |
|
| 查看次数: |
809 次 |
| 最近记录: |