Отпечатай - Прилагат ми някакъв exploit на apache-то

Трябва да ни дадеш малко повече информация, за да разберем какво точно става. Имам няколко въпроса:

1) Какви са тези стотици процеси, които се появяват? Апачето стартира отделни нишки, за да приеме нови кънекции или стартира отделна програма стотици пъти.
2) Как си го защитили от syn flood? Как си сигурен, че не е syn flood? При syn flood по-принцип нищо не се логва, т.к. няма завършена TCP кънекция.
3) Това че MySQL ти дава too many connection може ли да значи, че някой се опитва да ти brute force разни акаунти.
4) Каква е Операционната система на сървъра? Какво точно хостваш и какви web услуги се достъпват, може ли потребители да се логват отдалечено на твоя сървър и да ползват ресурсите му?
5) Атаките от един и същ IP ли се извършват или от произволен IP? Атаките постоянни ли са или има прекъсване между отделните атаки?

За мониторинг какво става може да използваш tcpdump, който да ти извежда инфо за идващите пакети. Например за детектиране на syn flood може да ползваш следното изпълнено като root:

Код:

tcpdump -n -vv dst host IP_NA_TVOQ_SERVER and dst port 80 and 'tcp[tcpflags] & tcp-syn == tcp-syn'

IP_NA_TVOQ_SERVER - тука трябва да въведеш IP-то на твоя сървър. За повече инфо относно работата с tcpdump http://danielmiessler.com/study/tcpdump/

Не е зле да видиш и по логовете какво пише, логовете на Апаечето, syslog, auth.log, логовете на другите услуги, които поддържаш. Също виж изхода на last, lastb, w или who за нещо съмнително.
Инсталирай си и htop, конзолен таск мениджър доста по-удобен от top, за да следиш какви процеси работят на системата.

Linux за българи: Форуми

Linux секция за напреднали => Хардуерни и софтуерни проблеми => Темата е започната от: carbonated в Jun 29, 2011, 15:27