今天早些时候,我从我的托pipe服务提供商收到一封电子邮件,说我的服务器正在被DDoSed。 我在日志文件中发现了很多可疑的请求,其中包括dekhockeyvicto.com,workout.de和一些非常奇怪的dish_fiber.dedicated :
13/Sep/2017:10:35:21 +0300] "GET http://dish_fiber.dedicated/alogin?dst=http%3A%2F%2Fviewdns.info%2Freverseip%2F%3Fhost%3Ddekhockeyvicto.com%26amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bt%3D1 HTTP/1.1" 400 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36" 52.119.20.4 - - [13/Sep/2017:10:56:46 +0300] "GET http://dish_fiber.dedicated/alogin?dst=http%3A%2F%2Fviewdns.info%2Freverseip%2F%3Fhost%3Dworkout.de%26amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bt%3D1 HTTP/1.1" 400 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36" 它是什么? 是DNS floodtypes的DDoS攻击还是什么? 请帮忙。
欢迎来到互联网。
有人试图用你的服务器作为代理来攻击别人的机器。 它看起来不像你的服务器上的DOS攻击。
由于这些尝试已经频繁地唤醒了你所支付的人,以便为你提供这种支持,这意味着攻击者正在取得一些成功。 但是,您的服务器似乎正确地响应拒绝请求的400响应。
只要你没有一些愚蠢的东西使用自定义的error handling程序,它会返回大量的内容,你没有办法做到这一点。 这不是真的 – 但从你的问题,我得到印象,你没有技能,预算和托pipe解决这个问题。
成为DDoS攻击的受害者不一定会在日志中产生任何东西:这只会耗尽networking带宽,这会让您的主机提供商担心。 如果您的服务器用于这样的攻击,您可能会发现侵入或活动产生来自日志的stream量的证据。
当这种通知到达你,你开始阅读你以前没有研究过的日志,你会发现所有不相关的exception。 我对旧车有着同样的心理问题:每当我相信某些东西可能是错的时候,即使是所有我应该熟悉的噪音听起来都是新的,并且是警醒的。 同样,日志中一直存在各种exception查询。