网站昨天被攻击,但是攻击手法灰常诡异!
我网站的环境是apache做后端,varnish做前端。且面板处只开放了22和80。昨天早上,突然发现网站响应很慢,于是看了下探针,内存占用了500多MB,平均负载也很高,结束apache后就无法再次启动,一直提示端口被占用。于是直接重启系统。重启后看了下,负载还是很高。看了下日志,几十分钟内大部分是我的ip。没发现什么异常。执行top,发现占用资源的都是apache。如果被ccdd,那么一定有很大的上行或下行,于是看了下流量变化,发现eth0的上下行就那几kb,多则十多kb,但是lo却高达几百kb每秒,甚至上mb。于是在单手摘jj的指引下看了下链接数,发现和一个ip的链接数保持在400到500之间。于是用iptables ban了那ip,网站立马恢复正常了。
这攻击太诡异了,居然不是发起get请求,不留记录,不占用我eth0的带宽,却用lo的,最牛的是还能让我的apache创建那么多进程,上了varnish,apache根本不会有那么多进程。而且一旦结束apache后,就无法再次启动,提示端口被占用,检测却没发现占用端口的程序,必须重启系统。而且只有400多链接数,如果400多连接数直接get我网站是根本没这种效果的。
这么牛逼的攻击手法,有人知道是啥么……来自: Android客户端 太好了 好牛B 有个apache的漏洞和你所说的状况差不多,你把你网址发一下,我试试,你记得看日志。
lol.gif
wnbinker 发表于 2013-4-7 12:56
back.gif
有个apache的漏洞和你所说的状况差不多,你把你网址发一下,我试试,你记得看日志。 ...
一边去,那效果太牛逼了,不想再试…… nginx抗攻击各种维护,200一次 睡觉先,希望不要再遇到此人
xen 发表于 2013-4-7 13:00
back.gif
nginx抗攻击各种维护,200一次
自己都搞得定……不喜欢nginx所以用varnish 本帖最后由 xen 于 2013-4-7 13:15 编辑
★Extreme★ 发表于 2013-4-7 13:09
back.gif
自己都搞得定……不喜欢nginx所以用varnish
没个4g内存都不好意思用,用这些大气配置,机器是16g的么
xen 发表于 2013-4-7 13:13
back.gif
没个4g内存都不好意思用,用这些大气配置,机器是16g的么
楼主在用1G VPS,别笑他了