Segurança do Debian: muitas conexões na porta 80

Navegue suas respostas
5

Eu tenho um servidor debian (kernel: 2.6.32-5-amd64).

Eu normalmente executo um servidor jetty nele, mas ultimamente ele começou a receber várias conexões. Não deve receber todo esse tráfego, já que é um servidor bastante desconhecido.

Em exibição: 

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Gera hundres de IP's. Eu tentei adicionar todos eles ao drop list do iptables, mas o novo IP continua aparecendo.

Então eu fui em frente e parei Jetty, e todas as conexões foram embora. Para garantir que isso não seja um bug / falha de segurança no Jetty, ativei o apache2 e todas as conexões foram iniciadas imediatamente.

Parece que as pessoas o estão usando como um servidor proxy, usando urlsnarf mostrando toneladas de solicitações de saída para fóruns, sites de anúncios e o nome dele. Sua solicitação é tão grande, que a CPU está pulando para cima e para baixo e, eventualmente, o servidor acaba quebrando.

Alguém sabe como eles podem fazer isso? Parece que, seja qual for o servidor listado na porta 80, isso começa imediatamente.

Este é um ataque DDOS? Como as pessoas estão usando meu servidor como proxy, apenas com a listagem de software na porta 80?

Eu tenho hosts instalados e esvaziados ( link ), mas o problema persiste.

Se você suspeitar ou tiver alguma ideia de como proteger e corrigir esse problema, eu ficaria muito grato.

Se eu precisar fornecer mais dados, me avise.

Obrigado em avançado

    
por Bolli 09.06.2013 / 00:04

3 respostas

1

Este não é um ataque DDOS se houver tráfego real no seu servidor.

O que você está descrevendo não deveria ser possível, mas os hackers ainda podem ter encontrado um caminho. Se o seu servidor foi comprometido, é muito mais provável que o ataque tenha vindo de dentro da sua rede através de outro computador infectado.

Sugiro reformatar o disco deste servidor e reinstalar todo o software. Assegure-se de que seja firewall de ambas as redes externas e internas.

Você também deve verificar todos os computadores da sua rede interna que tenham acesso de qualquer tipo a esse servidor, e no futuro restringir mais qualquer acesso.

Siga os artigos abaixo para o Apache (mais informações certamente serão encontradas em outro lugar):

Dicas de segurança - Servidor HTTP Apache - 20 maneiras de proteger sua configuração do Apache

Existem muitos artigos para proteger o Linux, então aqui estão apenas alguns:

20 dicas de segurança para fortalecimento de servidores Linux
Lista de verificação de proteção do servidor Red Hat Linux

    
por 23.06.2013 / 16:22
1

Não está realmente no tópico, mas eu aconselho a atualização do seu kernel, pois o 2.6.32-5 é vulnerável a uma raiz local explodir.

Mas o seu servidor já pode estar comprometido e ser usado como um servidor proxy para alguém. Se você estiver hospedando um site, verifique se há alguma página com aparência suspeita.

Instale também o software anti-rootkit apenas em caso de incase.

Normalmente, os ataques DDoS seriam exibidos como solicitações de SYN se você analisasse o tráfego por meio de um programa como o wireshark

    
por 23.06.2013 / 13:04
0

Obrigado por toda a atenção.

Eu finalmente escrevi para minha empresa de hospedagem e recebi um novo conjunto de IP's, agora os ataques pararam completamente.

Ainda estou curioso sobre como esses ataques são feitos, por isso, se alguém tiver alguma opinião, ainda estou interessado em uma boa resposta. Mas por enquanto o problema está resolvido para mim.

Obrigado novamente.

    
por 25.06.2013 / 15:18

Tags

O Ubuntu WiFi está lento após a atualização Criando uma pasta dos primeiros 5 caracteres do nome do arquivo em um arquivo de lote