我已经注意到以下几点:
Firewall: *TCP_OUT Blocked* IN= OUT=eth0 SRC=ME DST=OUT LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=44395 DF PROTO=TCP SPT=55901 DPT=10080 WINDOW=14600 RES=0x00 SYN URGP=0 我怎样才能找出哪个网站发送这样的攻击?
PHP正在使用CloudLinux作为fast_cgid运行。
如果如你的日志似乎表明,数据包源于你的系统,那么你需要弄清楚“哪个网站正在发送这样的攻击”,但是你的系统上的什么(或谁)正在产生stream量。
现在,通过这种方式,Amanda备份系统最常使用TCP端口10080。 如果您已经设置了Amanda将您的服务器备份到远程主机,那么这可能是导致stream量的原因(并且如果被阻塞,那么您的备份不起作用!)。
(一些PC游戏也使用TCP端口10080,但是我认为你不是在这个Linux机器上玩电脑游戏…)
要找出谁启动了连接,请修改每个防火墙日志logging规则以添加--log-uid 。 发起连接的用户ID将被logging为UID=### 。 一个例子:
iptables ..... -j LOG --log-uid ...