最近我的apache得到了DoS攻击,它发生了攻击者泛滥的SYN请求到我们的apache,我知道是因为那时我已经启用了wireshark。
攻击完成后,我重新启动我的Apache和它的全部运行正常。 但是,当我从mod-status检查我的serverstatus时出现了一些线程正在显示的问题
> 0-92 61968 0/0/674 R 1125 0 0.0 0.00 22.93 ? ? ..reading.. > 0-92 61968 0/0/29 R 537889 0 0.0 0.00 0.01 ? ? ..reading.. > 0-92 61968 0/0/852 R 1158 15 0.0 0.00 15.05 ? ? ..reading.. > 0-92 61968 0/0/2 R 537933 578 0.0 0.00 0.02 ? ? ..reading.. > 0-92 61968 0/0/3 R 537933 0 0.0 0.00 0.02 ? ? ..reading.. > 0-92 61968 0/0/1 R 538060 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/2 R 538060 0 0.0 0.00 0.01 ? ? ..reading.. > 0-92 61968 0/0/71 R 538146 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/31 R 538146 0 0.0 0.00 0.01 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading.. > 0-92 61968 0/0/0 K 1287665833 0 0.0 0.00 0.00 这些..读..总是显示,即使我重新启动。 你有什么想法如何删除这个? 它来自哪里?
要validation你是否仍然受到攻击:
键入以下命令
netstat -plan | grep :80 | awk {'print $5′} | cut -d: -f 1 | sort | uniq -c | sort -n
您将看到一个IP列表,以及每个连接到服务器的连接数量。
如果任何IP有超过100个连接,那么这是你的攻击者的可能性。 请继续使用APF(如果已安装它或CSF)来阻止此IP。
apf -d IP
要么
csf -d IP
我最近也看到了一些在我的apache状态。 看起来他们会自动离开我。 我正在寻找一个解释。
关于这些进程重启后不会消失,你可以尝试停止Apache:
killall -KILL httpd
然后重新启动它。 他们可能是僵尸进程,Apache重启时无法自行杀死。
我知道这种攻击几乎不可能防止发生,但只要确保:你是否已经精确调整了Apache TimeOut值,还是设置为默认值(我认为是300秒)? 如果这是默认的300秒,则可以安全地将其更改为一些显着较低的值,例如15或30秒。