Fórum Root.cz
Hlavní témata => Server => Téma založeno: fife 22. 02. 2011, 17:21:45
-
Zdravim vas pani,
cez jeden virtual host mi cca jednou denne jedu utoky z meho servera nekam. absolutne nic podozrive nemuzu najit v logoch, apache je uplne klasicky nastaveny (ispconfig). Projevi se to tak, ze neskutecne stoupne prenos (z 3Mbps tak na 800Mbps) a hotovo. zvali mi to linku, 10min vali ten utok a potom sa to zas vrati do normalu.
Nemate s timto zkusenosti, resp nevite jak sa branit?
Moc dekuju za rady!
-
skus to najprv indentifikovat co ti v tom case a hlavne kam lieta.
bud pomocou nejakeho sniffera alebo prip. pomocou nejakeho bandwidth monitoring nastroja by si mohol zistit destinaciu.
nejake nastroje
sniffre: tcpdump , wireshark, a ine
bandwidth: iftop, iptraf, atd...
-
no ono sa to tazko analyzuje, vzdy jak sa to stane mi ta linka sa zahlti a padne.
ale destinacia co som zatial zistil je prave uplne vzdy ina. vzdy ina IP kam to ide
-
typicka vec. blbe nakonfigurovany apache nebo nejaka blba aplikace v phpku.
asi zidentifikovat kterej proces apache generuje ten provoz a podle toho najit kterej web to dela.
-
Naprosto typycke. Bohuzel. S nejvetsi pravdepodobnosti apache/php.
-
Zdravim,
pravdepodobne sa jedna o kompromitovany server. Situaciu doporucujem riadne zanalyzovat, napriklad pomocou sietoveho trace (tcpdump) a analyzou logov (apache, syslog, IPF)
Vacsina takychto pripadov vznika v dosledku remote exploitu (RFI, SQL injection) CM aplikacii ako su Joomla a WordPress. Nasledne je na server umiestneny remote php shell (napr. c99).
Silne doporucujem opatchovat system/aplikacie a zvazit zavedenie bezpecnostnych protiopatreni - IPF, HIDS, hardening systemu/aplikacie.
LKe