Útoky ze serveru zahlcují linku

[fife]

Zdravim vas pani,

cez jeden virtual host mi cca jednou denne jedu utoky z meho servera nekam. absolutne nic podozrive nemuzu najit v logoch, apache je uplne klasicky nastaveny (ispconfig). Projevi se to tak, ze neskutecne stoupne prenos (z 3Mbps tak na 800Mbps) a hotovo. zvali mi to linku, 10min vali ten utok a potom sa to zas vrati do normalu.

Nemate s timto zkusenosti, resp nevite jak sa branit?

Moc dekuju za rady!

[Reklama]

[xyz]

skus to najprv indentifikovat co ti v tom case a hlavne kam lieta.
bud pomocou nejakeho sniffera alebo prip. pomocou nejakeho bandwidth monitoring nastroja by si mohol zistit destinaciu.
nejake nastroje
sniffre: tcpdump , wireshark, a ine
bandwidth: iftop, iptraf, atd...

[fife]

no ono sa to tazko analyzuje, vzdy jak sa to stane mi ta linka sa zahlti a padne.
ale destinacia co som zatial zistil je prave uplne vzdy ina. vzdy ina IP kam to ide

[.]

typicka vec. blbe nakonfigurovany apache nebo nejaka blba aplikace v phpku.
asi zidentifikovat kterej proces apache generuje ten provoz a podle toho najit kterej web to dela.

[none]

Naprosto typycke. Bohuzel. S nejvetsi pravdepodobnosti apache/php.

[Reklama]

[Ladislav Kepsta]

Zdravim,

pravdepodobne sa jedna o kompromitovany server. Situaciu doporucujem riadne zanalyzovat, napriklad pomocou sietoveho trace (tcpdump) a analyzou logov (apache, syslog, IPF)

Vacsina takychto pripadov vznika v dosledku remote exploitu (RFI, SQL injection) CM aplikacii ako su Joomla a WordPress. Nasledne je na server umiestneny remote php shell (napr. c99).

Silne doporucujem opatchovat system/aplikacie a zvazit zavedenie bezpecnostnych protiopatreni - IPF, HIDS, hardening systemu/aplikacie.

LKe