我们有一个nginx 1.4.6的Ubuntu 14.04.1 LTS服务器,它承载了几十个网站,并收到来自另一台服务器的数百个请求的滥用投诉:“POST /wp-login.php HTTP / 1.0”来自我们的服务器。 我该如何解决这个问题,以便我可以找出这个stream量来自哪里? 我一直在尝试读取tcpdump的输出,但我没有太多的经验,并不知道什么参数给它或如何读取输出的方式,我可以find我在找什么一个有效的方法。 我应该使用哪些工具,以什么顺序查看我能否追踪问题的根源?
简单的一级方法是使用lsof -i @remotehostname (或远程ip地址)来查看哪个用户和进程正在启动到远程主机的连接。
关于解释tcpdump输出,我仍然发现使用Wireshark来解释一个捕获的TCPstream更容易。 它还可以帮助您生成在tcpdump中使用的语法,使捕获更具体。
由于缺乏信息我会猜测以下。
该怎么办?
让网站保持最新,说起来容易做起来难,但这很重要
分区,你的网站应尽可能彼此隔离(PHP的执行不是没有人或WWW数据,而是作为独特的用户,通过这样做妥协的一个网站不会导致所有站点的妥协,特别是当懒惰的攻击者给你头痛)
经常扫描和审计你的系统,你可以使用Maldet来search可疑的文件,后门入侵者可能已经遗留下来了。 这绝不是完整的清理套件,它会发现一些东西,但是它是基于签名的,后门的任何突变都可以很容易地让后门不被这些扫描器所察觉。
search和摧毁; 共涉及; 我的意思是,用你所拥有的任何东西进行search,logging下发现的结果,检查访问日志,提及访问你发现的东西,然后记下正在访问这些错误文件的IP; 然后检查这些IP可能访问您的服务器上的其他文件。 这可能会揭示几个签名不匹配的后门。
尽量减less攻击面。 pipe理区域function丰富的组件,这意味着很多的错误。 如果将访问权限限制在less数IP上, 或添加像基本身份validation的附加层,这将有助于保护您的托pipe网站不被占有。
睁大你的眼睛,循环播放这个列表,find新的方法添加到这个列表来提高你的防御能力。