我的服务器被淹没,直到Apache变得无法响应, 我需要一些帮助find并阻止负责任的IP地址 。 通常,我没有超过150个连接。 现在我有几千: netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n 1 established) 1 Foreign 13 LAST_ACK 20 CLOSING 30 SYN_RECV 41 LISTEN 44 FIN_WAIT1 74 FIN_WAIT2 77 CLOSE_WAIT 273 ESTABLISHED 1960 TIME_WAIT MRTG图清楚地显示了攻击开始之前的正常连接: 这是每个IP计数连接的结果(仅列表的结尾): netstat -atun | awk '{print $5}' | cut -d: -f1 | sed […]
一个名为XerXes的黑客声称他创build了一个名为XerXes的应用程序,它可以在不使用botnets , zombie pc's情况下执行DDoS攻击,对中间节点没有附带损害,也不会对目标造成长期损害。 查看video中logging的实时DDoS攻击: >>这里<< 这个video让我担心(因为互联网可能不会保存),另一方面,我认为这是假的,因为如何能够以10千兆/秒的速度发起DDoS攻击(Th3j35ter声称他是对wikileaks网站的攻击负责)从一台电脑? 而维基解密是在3个不同的IP使用负载均衡器? 有谁知道这是真的吗? 如果是真的,它是如何工作的? 而网站如何能够保护自己呢? (我不是黑客/黑客/ scriptkiddie,我不想成为!!)
我得到一个与Windows + Apache的专用服务器,ive问支持安装防火墙,并得到了一个cisco pix 501,攻击是在端口80到某个站点,我能做些什么来阻止它? 我想限制连接数量禁止访问某些IP范围(攻击者主要使用乌克兰和印度) 有任何想法吗? 更重要的是,我如何与思科做到这一点? 任何命令行都会有所帮助
我的Google Analytics(分析)显示来自一个ISP的stream量非常高,是来自同一ISP的所有唯一访问,并且都使用IE9 / 8/7/6。 我得到了32%的新的(独特的)访问,但是现在人们平均保持8分钟,这是3天前的20分钟左右。 浏览量保持不变。 我的网站正在stream量增长,但我得到了红旗,因为我从所有这些来自同一个ISP的新访问者,他们都使用IE浏览器,也停留在站点。 我的带宽仍然是一样的,CPU使用率没有上升,如果我真的在两天内获得30%的新访问量,这是很奇怪的。 该网站在nginx和PHP5的三台服务器上运行,我在日志中查看是否比平时更多的用户点击,但没有什么奇怪的。 没有新的部署到生产。 编辑:所有新的唯一身份来自uninet / telmex。 他们来自直接交通,没有引用。 主要的仍然有相同的数字。 有小费吗?
我的服务器在DDoS攻击下。 我看到我的访问日志,并得到一些东西: 968966 93-97-53-41.zone5.bethere.co.uk – – [27/Jul/2011:12:13:58 +0700] "GET /forum/forum.php HTTP/1.1" 200 91231 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5. 1)" 968967 61.120.148.12 – – [27/Jul/2011:12:13:39 +0700] "GET /forum/forum.php HTTP/1.0" 200 91539 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 968968 222.122.206.203 – – [27/Jul/2011:12:13:38 +0700] "GET /forum/forum.php HTTP/1.1" 200 91228 "-" "Mozilla/4.0 (compatible; […]
我正在用Directadmin运行一些虚拟主机服务器。 我将Apache作为主要的Web服务器运行,Nginx作为它的代理工作。 为了保持Nginx对Directadmin“隐形”,我在端口81上运行Nginx,并将所有到达端口80的连接转发到端口81,然后让Nginx作为代理(我基于这个post的设置)。 这已经完美工作了一年多了。 事情是,昨天我们开始注意到在我们的几个服务器的攻击。 我们收到这样的请求(取自Apache的mod_status): 11-2 29087 0/17/17 W 1.88 19 0 0.0 0.07 0.07 31.7.58.56 www.somedomain.com GET http://124.108.121.178/?.src=pop&.intl=e1&.help=1&.v=0&.u=c 12-2 29105 0/5/5 W 0.02 42 0 0.0 0.06 0.06 95.79.20.72 www.somedomain.com GET http://chek.zennolab.com/proxy.php HTTP/1.1 13-2 29111 0/14/14 W 0.29 26 0 0.0 0.07 0.07 87.227.9.151 www.somedomain.com POST http://arhack.net/vb/index.php HTTP/1.1 14-2 29113 0/5/5 W 0.80 […]
[Linux – CentOS – Apache – VPS] 上周我的服务器遭到SYN Flood攻击,我的主机提供商采取了一些步骤并解决了这个问题。 他们做的事情之一是打开SYN Cookie。 我知道,所有的stream量起源于南美洲。 我的问题是:知道攻击来自哪个国家,可以通过阻止我的.htaccess文件中的国家来抵御攻击? 或者在.htaccess出现之前 ,攻击发生在一个较低的级别上?
我试图阻止一个ip(networkingstresser工具 – ddos网站销售ddos机器人在线)第一个我试图阻止与iptables: iptables -A INPUT -d 173.193.26.73 -j DROP iptables -A INPUT -s 173.193.26.73 -j DROP 但是我仍然看到ip和带宽依然在iftop上。 还看到tcpdump上的ip。 这是正常的吗? 这里有什么问题?
在过去的一天左右,其中一个实例消耗了大量的带宽。 这意味着我们已经接近我们的津贴(大致相同的入境和出境)。 看看日志,我能看到的唯一的事情是在nginx access.log中有相同的文本string,有很多400 172错误。 我已经改变了nginx到不同的端口,实现了fail2ban,但由于stream量来自不同的IP,这是行不通的。 我也有我们的VPS提供商来改变我们的VPS的IP。 Fail2ban目前正在断开所有连接到80端口,这是不理想的,因为我们想要使用这个端口。 我们能做些什么来改善这种状况吗? 如果我们正在降低可疑交通量,这还会计入我们的补贴吗? 更多信息 我设法通过更改nginx错误日志级别获得更多的细节。 似乎正在发生的唯一错误是cleint在读取客户端请求行时发送无效请求。 该域是新的,并没有被使用过(它是一个长期存在的领域之一,一个全新的子域)。 我将检查它是否使用相同的path。 还有什么原因,为什么只是因为入站的数据包被阻止,它的stream量越来越大?
我的服务器目前正在进行DDOS攻击,每秒接近500k个UDP数据包。 UDP在iptables中被阻塞,但处理器仍然过载。 任何方式来阻止UDP在较低的水平不通过所有的iptables链/模块的数据包,但甚至之前呢?