今天有人打电话给我,他正在接收端口扫描,并且从我的服务器的IP请求很多。
我确实在日志中看到HTTPD请求的内存使用率很高。 但是,我怎样才能追溯到受感染的网站?
我使用Apache域日志,但找不到任何不寻常的东西。
如果有人从你的机器报告exception的stream量,那么你可能确实会在进入妥协之路(summary:rebuild)之前确认它已经被破坏了。 如果可疑攻击与端口扫描和其他类似于stream量的僵尸networking相关,则将stream量镜像到运行协议嗅探器的另一台主机,并查找任何不正常的东西,这基本上不是HTTPstream量。 如果你在那里看到妥协的迹象,那么你知道从轨道计划中遵循核武器。