Desde muitos dias, talvez, meses atrás, um dos meus servidores está falhando, quase todos os dias. Às vezes, mais de uma vez por dia. [Alt text] [1]
Isso está me preocupando muito.
Meu lote em / vars / log / messages está cheio de linhas como estas abaixo:
Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=33286 DF PROTO=TCP SPT=4957 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=14135 DF PROTO=TCP SPT=4959 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=63643 DF PROTO=TCP SPT=4958 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:36:26 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=4301 DF PROTO=TCP SPT=4960 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:39:10 host kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=218.30.22.82 DST=00.000.000.000 LEN=404 TOS=0x00 PREC=0x00 TTL=116 ID=34607 PROTO=UDP SPT=1271 DPT=1434 LEN=384
Oct 8 13:40:14 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=119.152.144.40 DST=00.000.000.000 LEN=56 TOS=0x00 PREC=0x00 TTL=49 ID=23737 DF PROTO=TCP SPT=2435 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0
Note que eu substituo o IP do meu servidor por 00.000.000.000.
Sempre recebo mensagens de log sobre ataques de força bruta. Tentativas de login com falha ...
Alguém pode me dar alguma idéia sobre o que fazer para resolver esse problema?
Já tenho o CSF e o DDOS desinsuflados instalados. Mas eles não estão resolvendo o problema.
Meu servidor é o Cent OS, o Apache2
Parece que alguém está tentando se conectar via portas telnet (DPT = 23) e SQL (DPT = 1434), estas REALMENTE não devem ser expostas à internet. Eu iria filtrá-los completamente no firewall. Isso deve pelo menos limpar seus logs se o servidor continuar travando você pode tentar e ver se é outra coisa.
Como eles são bloqueados, essas conexões não são prejudiciais para um DDOS. Os logs estão disponíveis apenas para você saber quem tentou atacar você. O que é prejudicial é quando o número de meia conexão aberta chega perto do limite especificado em sua configuração. O que eu sugiro é que você siga o conselho do Zypher e tenha seu firewall para moderar essas conexões.
Tags apache-2.2 ddos