我正在使用标准的LAMP设置运行一个2GB的Centos 5.9服务器。 我正在运行一个WordPress的网站,所以没有什么要求性能明智的。 然而,当我尝试访问我的WordPress的网站时,MySQL服务器似乎不断崩溃,因为我得到一个错误连接到数据库。 我检查了CPU,它运行在100%,RAM也是100%。 我试过了 服务mysqld重启 一切恢复正常约10分钟,然后再次崩溃。 我也试过调整my.cnf文件和httpd.conf文件,但是这并没有解决它。 当我跑步 netstat -ntu | awk'{print $ 5}'| cut -d':'-f1 | grep“^ [0-9]”| sort -g | uniq -c 我得到以下输出: 1 31.222.135.11 1 50.56.142.152 1 50.57.61.11 1 78.136.44.13 2 78.19.241.93 201 127.0.0.1 为什么我的环回地址上有201个连接? 感谢您的帮助提前。
我的问题是我有一个多宿主的DDOS保护解决scheme的3个DDOS保护接口,并且teamspeak拒绝通过正确的接口(也就是发送它自己的IP映射的接口)返回数据包,导致错误,除非我将它绑定到接口,但是,然后摆脱了多宿主ddos保护点,还需要保持真实的用户IP地址,否则我不能有效地pipe理用户,因为我不能禁止或踢他们或我禁止/踢我自己。 这是启动脚本来设置我的当前隧道
好的,我pipe理的Ubuntu服务器今天成为DDoS攻击的受害者。 通常这是不愉快的,但没有那么大的交易。 几个高服务器负载时刻,然后通过。 今天显然不同。 为了logging,我有多年的服务器攻击疤痕。 但今天感觉不一样。 阅读。 该解决scheme通过重新启用ModSecurity规则来解决,该规则防止通过调用纯IP地址进行curl访问。 这意味着如果主机名是mygreatsite.com ,IP地址是123.456.78.90并且我为mygreatsite.com启用了虚拟主机。 而且ModSecurity是通过调用纯IP地址阻止curl访问的规则来激活的,那么当访问者访问mygreatsite.com ,访问者将获得正确的内容,但是如果他们尝试访问,则被ModSecurity阻止403: Forbidden该网站通过123.456.78.90 。 大问题解决了! 但是在袭击发生的时候,有三件事情是清楚的: Apache通过屋顶进行处理: Munin反映的Apache处理负载高于平常水平,持续高出3倍。 没有logging相应的networkingstream量:通过Apachelogging没有相应的stream量,反映在AWStats中。 这是几个小时的情况。 这是跨服务器上所有虚拟主机上的所有日志,包括将连接到裸IP地址的默认虚拟主机。 服务器负载适度高,但不是典型的攻击级别:虽然总体服务器负载很高,但只有单个数字 – 4,5,6,7等等 – 而不是一个典型的DDoS,负载可能会增加一倍三位数像20,30甚至120(!!!)。 对我而言,第3项是这次攻击中最不寻常的部分。 我还没有经历过一个DDoS的服务器负载基本相当于一个繁忙的交通日,而不是一个疯狂的服务器负载连接到攻击。 另外,运行elinks获取Apache server-status显示连接池在重新启动的几分钟内就像疯了一样充满: elinks http://localhost/server-status?refresh=1 而过去的任何一件事 ,我只是注意到一个Ubuntu安全补丁今天专门为curl问题。 这个具体的问题引起了我的兴趣: libcurl不正确地validation包含文字IP地址的通配符SSL证书。 所以这里是一个问题:发生了什么? 我知道重新启用一个ModSecurity规则阻止了攻击,但它可以以任何方式连接到libcurl问题 ? 如果是这样,我该如何检测或certificate? 而过去,如果问题出在libcurl – 我假设这个问题是来自使用这个缺陷的武器化客户端 – 那么这是否意味着有人可以简单地把一个黑客老旧的版本curl到DDoS中去呢? 而且写下来,任何黑客都可以下载源代码并修补它,以便今天为什么洪灾呢? 我的猜测是, curl的补丁让更多人意识到全球脚本小子的缺陷和“热情”,在发现漏洞的几个小时内就带来了大量的扫描。 但是,这又让我困惑,因为它在客户端curl安装,正确? 我无法想象curl在服务器端将是这个受害者。
现在,连续三天,我有四个或五个独特的服务器的查询被我的csf防火墙拒绝,这些查询被重新命名为“www.example1.com”,“www.example1.com” .com“,”ns1.example3.com“,”ns2.example3.com“。 我的问题是,如果我不得不把这些视为攻击? 如果是这样,尽pipe防火墙阻止了查询,我还是需要担心增加安全措施吗? 请注意,类似的IP和端口被命名为相同的字母。 Jul 22 12:24:00 server kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=blahblahblah SRC=ZZZ.ZZZ.Z.ZZZ DST=25$ Jul 22 12:24:00 server named[xxxx]: client aaa.aa.aaa.a#aaaaa: query (cache) 'www.example1.com/A/IN' denied Jul 22 12:24:00 server named[xxxx]: client aaa.aa.aaa.a#bbbbb: query (cache) 'www.example2.com/A/IN' denied Jul 22 12:24:00 server named[xxxx]: client ccc.ccc.ccc.ccc#ddddd: query (cache) 'ns2.example3.com/A/IN' denied Jul 22 12:24:03 server […]
微软有这个伟大的模块为IIS服务器: 用于IIS 7.0及更高版本的dynamicIP限制 (DIPR)模块可防止在Web服务器和Web站点上发生拒绝服务和暴力攻击。 该模块会暂时阻止HTTP客户端的IP地址,这些客户端会发出exception高的并发请求数量,或者在很短的时间内发出大量请求。 默认值是: – Deny IP address for 5 concurrent requests – Deny IP address for 20 requests in 200 milliseconds 我想知道有没有人有这些价值的build议? 我不是服务器pipe理员,我是一个没有任何安全背景的开发人员… PS。 顺便说一下,当一个浏览器请求一个网页,不会并发请求? 对于页面上的所有图像/ css / js fils … 谢谢!
我正在运行Debian 6 – 64位系统(内核2.6.32-5-amd64),并且经常被DDOS充斥。 我调整了/etc/sysctl.conf下的networking参数,不让任何内核参数溢出。 尽pipe很多参数都很好,但我开始在** / var / log / messages **中观察“nf_conntrack:table full”消息,为了解决这个问题,我添加了一些进一步的优化并增加了参数。 这里是“ sysctl -a ”的一些输出, net.netfilter.nf_conntrack_max = 256000 net.netfilter.nf_conntrack_count = 124 net.netfilter.nf_conntrack_buckets = 256000 net.netfilter.nf_conntrack_generic_timeout = 120 kernel.printk_ratelimit = 30 kernel.printk_ratelimit_burst = 200 这照顾了一段时间的“nf_conntrack:table full”消息,但是现在我不断收到以下消息,而且我的系统经常对其networking无响应。 我再次看到一些“ nf_conntrack:table full ”消息以及“ dst cache overflow ”的垃圾邮件, http://paste.ubuntu.com/10748348/ 我得到的攻击不够高,但是攻击者连续几个小时的洪水使我连续大约30k PPS。 这些产出也可能有用, grep . /proc/sys/net/ipv4/route/* /proc/sys/net/ipv4/route/error_burst:1250 /proc/sys/net/ipv4/route/error_cost:250 […]
我们的一台服务器在24小时内产生了19Gb的access.log ,服务器在这段时间内停止运行。 我们希望实施一些防范DDOS攻击的措施,但是在访问日志中,实际的服务器IP地址有数百个GET请求,从mod_pagespeed提取caching的文件。 我一直在看本指南 ,特别是使用IP tables限制来自同一IP的并发连接数量,但从我能收集到的信息来看,服务器本身是并发连接的主要元凶(一次超过200个)或访问来自许多不同的IP地址(主要是西class牙和德国)。 在写这篇文章的时候,服务器IP有225个并发连接,但实际浏览网站的人只有两个(一个是我)。 日志只包含来自Serf / 1.1.0 mod_pagespeed / 1.9.32.1-4238的大量GET请求。 我读过许多其他的SE / SF问题,包括对规范的引用,我记住这可能会作为自己的意见/要求提出build议,但我真的不确定我需要看什么来保护反对这个服务器上发生的事情。 该服务器正在运行Linux CentOs 6.4 x86_64和Apache。 更新 自发布这个问题以来,我已经完成了本指南的每一步。
这是我在Serverfault的第一篇文章,所以如果我犯了一些错误,请让我知道。 我正在处理的问题是在端口25上的我的Exim邮件服务器(cPanel)上的DDoS攻击。从我所研究的,可以使用SMTP反向代理,但我不知道什么是最好的select以及如何configuration它来帮助我在这种情况下。 最近(5小时前)开始发生这种情况,我没有机会find实际操作指南。 从日志中可以看出,DDoS的目标是用完所有的exmp中的smp_accept_max,现在设置为2000.几个小时前,攻击达到了1.1k,但是现在它使用了高达1.7k的最大的连接。 我可以使用的基础设施是一个单独的服务器,IP为88.77.66.55(这不是真正的IP),通过专用LAN(192.168.XXX.YYY)连接到受影响的服务器,通过它可以完成邮件中继。 问题是如果我可以使用反向SMTP代理来帮助缓解这个最大的SMTP连接使用率。 下面是exim_mainlog中显示TCP / IP连接数(88.77.66.44不是受影响的服务器的真实IP)的一些行: 2015-08-13 12:37:06 SMTP connection from [182.66.39.251]:61483 I=[88.77.66.44]:25 (TCP/IP connection count = 1047) 2015-08-13 12:37:06 SMTP connection from [81.138.19.72]:53444 I=[88.77.66.44]:25 (TCP/IP connection count = 1048) 2015-08-13 12:37:06 SMTP connection from [113.183.33.219]:1098 I=[88.77.66.44]:25 (TCP/IP connection count = 1049) 2015-08-13 12:37:06 SMTP connection from [188.158.238.5]:18165 I=[88.77.66.44]:25 (TCP/IP connection count […]
最近我一直忍受着似乎是一个UDP查询洪水攻击。 我正在寻找一种方法来阻止使用软件防火墙(如iptables)的攻击,这应该是可能的,如下所述。 攻击的目标是在7777端口上运行的GTA圣安地列斯多人(SA-MP)服务器。通过向服务器提供查询(用于确定服务器的在线等级),攻击者能够导致服务器的真正用户拒绝服务。 我在OVH专用服务器上托pipe此服务器,其中包含“Anti-DDoS游戏”保护。 他们没有检测到这个特殊的攻击。 鉴于这是针对SA-MP服务器软件缺陷的低带宽攻击,我相信应该可以使用iptables等软件防火墙来阻止攻击。 我的服务器在Ubuntu 14.04 x64上运行。 攻击对networking或主机上其他服务的可用性没有影响,只影响SA-MP服务器的可用性。 SA-MP服务器的CPU使用率不受攻击影响。 请注意,以下pcap文件中的目标地址已更改为50.0.0.0。 假定SA-MP服务器在50.0.0.0:7777上运行。 这些文件只显示目的地为50.0.0.0:7777的stream量。 以下pcap文件是在攻击期间创build的: https : //www.dropbox.com/s/5729k6vonqop7vh/attack.pcap 相应的匿名iptables日志: Sep 6 19:20:35 sonic kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff SRC=177.236.34.109 DST=50.0.0.0 LEN=39 TOS=0x00 PREC=0x00 TTL=108 ID=37535 PROTO=UDP SPT=10365 DPT=7777 LEN=19 Sep 6 19:20:35 sonic kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff SRC=177.228.244.109 DST=50.0.0.0 LEN=39 TOS=0x00 PREC=0x00 TTL=108 ID=56141 PROTO=UDP SPT=26757 […]
我的服务器越来越被欺骗性的源IP地址的UDP泛滥。 他们洪水真正的用户数据包,所以我不能限制或封锁这些数据包。 有没有办法丢弃从IP接收到的第一个数据包,并接受下一个数据包? 他们每个随机IP只发送一个数据包。 这可以帮助我过滤这个攻击。