由于很多天,也许几个月前,我的一台服务器几乎每天都在崩溃。 有时候,每天多一次。![alt text] [1]
这让我很担心。
我在/ vars / log / messages中的很多行都是这样的:
Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=33286 DF PROTO=TCP SPT=4957 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=14135 DF PROTO=TCP SPT=4959 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=63643 DF PROTO=TCP SPT=4958 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 Oct 8 13:36:26 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=4301 DF PROTO=TCP SPT=4960 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 Oct 8 13:39:10 host kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=218.30.22.82 DST=00.000.000.000 LEN=404 TOS=0x00 PREC=0x00 TTL=116 ID=34607 PROTO=UDP SPT=1271 DPT=1434 LEN=384 Oct 8 13:40:14 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=119.152.144.40 DST=00.000.000.000 LEN=56 TOS=0x00 PREC=0x00 TTL=49 ID=23737 DF PROTO=TCP SPT=2435 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 请注意,我将我的服务器的IPreplace为00.000.000.000。
我总是得到很多或logging关于蛮力攻击的消息。 失败的login尝试…
有人可以给我一些想法,关于如何解决这个问题?
我已经安装了CSF和DDOS放气。 但他们没有解决问题。
我的服务器是Cent OS,Apache2
它看起来像有人试图通过telnet(DPT = 23)和SQL(DPT = 1434)端口连接,这些真的不应该暴露在互联网。 我会完全过滤他们在防火墙。 这应该至less清理你的日志,如果服务器不断崩溃,你可以尝试,看看是否是别的东西。
因为它们是阻塞的,所以这些连接对于DDOS来说是无害的。 日志只是为了让你知道谁试图攻击你。 什么是有害的是当打开的半连接的数量接近你在你的configuration中指定的限制。 我build议你遵循Zypher的build议,让你的防火墙来缓和这些连接。