【求助】飽受攻擊的APACHE

**hhdig** · 2005-02-04, 04:03 PM

哦....
我了解了,感謝大家

**dominic** · 2005-02-04, 04:14 PM

作者：皮皮

那這樣說來還是要從IPTABLES著手嗎?
dominic兄您的主機板跟我一樣咧!!!

這個主機板我覺得很耐用呢^^

如果你沒中這個蠕蟲也沒開ssl port就可以不要管它了(偷懶拉)

**apage** · 2005-02-04, 07:03 PM

放個有安裝sniffer的筆記本，接在各網段監控，
重複幾次之後就能直接找到發動攻擊的電腦，這樣處理不是比較快嗎

皮皮 · 2005-02-16, 01:46 PM

報各各位大大
後來發現~~我的APACHE1.3好像是一直在發送PORT SCAN的封包出去
才造成我網路的癱瘓~~

這樣是中毒嗎?

還是有駭客攻擊呢?

謝謝!!!

**apage** · 2005-02-16, 11:54 PM

作者：皮皮

報各各位大大
後來發現~~我的APACHE1.3好像是一直在發送PORT SCAN的封包出去
才造成我網路的癱瘓~~

這樣是中毒嗎?

還是有駭客攻擊呢?

謝謝!!!

請問你是如何確認的呢？

皮皮 · 2005-02-17, 02:50 PM

作者：apage

請問你是如何確認的呢？

小弟硬體防火牆上~~
有紀錄看到的!!!

但擋不住我送出去的封包~~

**apage** · 2005-02-20, 09:36 PM

那麼先停止apache服務再看看吧!

你的apache是架在Linux還是Windows?
至少要把環境都解釋清楚才好了解狀況

皮皮 · 2005-02-20, 11:54 PM

作者：apage

那麼先停止apache服務再看看吧!

你的apache是架在Linux還是Windows?
至少要把環境都解釋清楚才好了解狀況

小弟是使用kinux 7.3版的~~

**NoLan** · 2005-02-25, 11:45 PM

作者：皮皮

小弟是使用kinux 7.3版的~~

在INPUT的地方全部DROP 掉
然後只開你需要的大概：20-FTP 21-FTP 22-SSH 80-HTTP 199-SNMP
其他應該都不需吧 ... 這樣寫起來應該省事多了。

**dou0228** · 2005-02-26, 03:30 AM

作者：NoLan

在INPUT的地方全部DROP 掉
然後只開你需要的大概：20-FTP 21-FTP 22-SSH 80-HTTP 199-SNMP
其他應該都不需吧 ... 這樣寫起來應該省事多了。

在 INPUT chain DROP 掉, 一樣會保留 120 秒..
這是除了改程式碼之外, 怎麼樣都沒辦法

就算 netstat 看不到一大堆 syn 封包, Apache 看不到一堆連線
但是你的 Linux 已經耗掉資源了

而且這很明顯是被攻擊( SYN_RECV ), 而不是 Apache 主動往外( SYN_SEND )