如提
小弟先前裝了Windows + Appserv的時候,每隔一段時間Appserv就會當機,後來才改裝Centos+appserv
然後一開始裝Centos5.8 + Appserv + php53 + Mysql51 + bind 8
結果連續三天每天早上大約10-11點,我們內部的網路對外會完全停擺
我們有裝Fortigate 200B,我進去防火牆時,防火牆CPU使用率高達100%,幾乎掛點
我將Appserv重啟就馬上正常
後來我以為是5.8的漏洞,改裝成6.5,前兩天沒事,第三天又開始發生相同問題
一定要重新啟動appserv才會正常
我應該要怎麼檢查?
會是網站被植入木馬嗎?
網站有大約8個,7個Wordpress+1個Discuz
拜託各位先進幫幫忙
先清查你的CentOS主機,除了掃毒,重要的是應該關閉沒有需要用到的服務
主機的位置是否在所謂的DMZ,防火牆應該隔絕沒有必要的連線
FG-200B的CPU都跑到100%,非常可能有DDoS攻擊,之前Win系統時
有無檢查防火牆紀錄,IPS與DoS防護有無開啟,有無紀錄?
如有IPS紀錄,FG200B可幫你防護問題,如果是DoS,比較麻煩
由於你提供的資料不夠完整,處理的經過也沒有提到(還是只換了OS)
只能先提部分建議,希望有點幫助。
你好
我大部分的服務都是關掉的,目前看起來是appserv服務有問題
Fortgate是設定在虛擬主機,用NAT。
可是我感覺是內部向外攻擊,fortgate看不到有攻擊的log
arthuroyuang提到:
fortgate
若沒設定啟用IPS與應用程式控制,是沒有啥Log的...
若有設,可以看一下IPS設定嗎? 有可能是有偵測未阻擋...
你好,有開啟IPS防護
可是沒什麼log
Fort版本 5.7
剛剛去看DOS策略 是空白的~"~
請問DOS策略是設定全開然後門檻預設,選擇拒絕
這樣可以嗎?
我兩個外對內IP到這台主機的都這樣設定,該主機對外任何IP的也這樣設定
剛剛測試這台主機的網站變得比較慢
哈~
我們是用資安艦隊的Fortgate 200B,配合FTTH
另外有簽約si公司,也可以請他們設定嗎?
據我所知台灣的FG200B多半沒有硬碟紀錄Log
所以你看的到的都是很短時間內紀錄在memory的Log紀錄
時間一長就會被其他的Traffic Log給擠掉,所以說要常觀察注意
開啟DoS防護要啟動所有的狀態與紀錄,
採取行動與門檻請自行決定,(你看設備畫面可見)
原則上超過門檻就會有紀錄
另外,DoS政策與防火牆政策一樣
都是可以設很多條,可設定不同的流量進入口政策
至於你簽約的SI公司,如果當初沒有簽這台FG200B
它們未必不肯幫忙,但也有可能不是它們專業的領域
我只能確定的說找資X艦隊,肯定是沒用的...
我剛剛都先用預設把DOS打開
結果CPU跑到100%,可是跟攻擊的100%感覺不同,上網沒有明顯降低,Web Consle也沒有進不去的問題,我剛剛把httpd的ddos防護模組也給裝起來了,只能在觀察。
我這樣需要再重裝一次centos嗎?
前後已經重裝七八次了 哭~
資安艦隊的工程師常常找不到人~"~
FG200B DoS的作用是在把你設定門檻值以上的封包丟棄
所以不是攻擊的IP還是能夠運作,只是FG200B會很累
(你可以看一下Log中,進與出的IP)
我看回覆在討論的twtw大大給的那篇文章很好
終究是要解決你appserv的問題(治本)
然後FG200B的防護(IPS&DoS)要做好
不然今天重灌,防護不夠力
明天appserv又中招
至於資X艦隊,I have nothing to say !
Good Lock!
如果你有購買FG200B的四合一服務的話
你還有很多工具可以用
包括在防毒的選項中可找到
"阻斷與殭屍網路連線"的設定選項
(內對外政策可啟用)
另外在防火牆物件中,位置設定可以選"地理位置"
這樣在防火牆中的政策就可以避免不必要地區的IP來訪(如大陸)
應用軟體中也有Bot類別可做控制
資安防護無他法,比別人做得更嚴密
更常關注自己網路設備的LOG狀況
就可有效降低風險
個人小小意見,供您參考
阻斷殭屍網路的部分我有打勾~
另外參考twtw的大大,把弱點刪除後
我在網路上找到apache有mod_evasive模組可以用
但剛剛在用的時候發現我的apache不再/usr/local或/usr/sbin底下
我是用yum install的,有重裝過
還有可能有其他路徑嗎?
先隔離主機與網路的連結然後下netstat來看連線的狀況
或是利用ps -ef等相關指令看是那隻demon在發起攻擊
如果上述作業方式你無法獨立完成,那建議除了找專業人士幫忙外
就是先重灌Server再試試,入侵的方式很多復活的方式也很多
防火牆cpu過高只是結果,root cause沒找出來惡夢不會結束
你有檔搜尋引擎在用的BOT嗎?
大陸那邊有幾家滿白癡的搜尋引擎
似乎BOT沒寫好
對於某些類型網站的內容抓取會變成無窮回繞
在你的網站設定一下 .htaccess 與 reboots.txt
可以降低不少不必要的流量
沒有在檔蜘蛛耶~
各種瀏覽器或機器人的User-Agents
http://www.user-agents.org/
從你的WebServer的log去分析
如果你確定是哪一個BOT在轟你的網站的話
可在你網站的.htaccess
把對方擋掉
有個產生.htaccess的工具
http://incredibill.me/htaccess-block-user-agent
不過你要先記得啟用WebServer的RewriteEngine
如果你有用過這套log分析工具的話
http://awstats.sourceforge.net/
Webserver看起來還好,大多是另外discuz有看到大量的抓資料,但看起來都還算正常
目前開啟Linux內建防火牆的DDOS防禦跟fortDDOS防禦後就比較沒有這問題了
還在觀察
目前只有查到兩組IP會每天來抓資料連線,然後每天都被封鎖
是來自美國的IP
但看不出來domain是什麼