iT邦幫忙

0

求救!!!急~~CentOS會自動發出大量封包癱瘓內部網路

羊羊 2014-06-14 23:26:1912408 瀏覽
  • 分享至 

  • xImage

如提
小弟先前裝了Windows + Appserv的時候,每隔一段時間Appserv就會當機,後來才改裝Centos+appserv
然後一開始裝Centos5.8 + Appserv + php53 + Mysql51 + bind 8
結果連續三天每天早上大約10-11點,我們內部的網路對外會完全停擺
我們有裝Fortigate 200B,我進去防火牆時,防火牆CPU使用率高達100%,幾乎掛點
我將Appserv重啟就馬上正常
後來我以為是5.8的漏洞,改裝成6.5,前兩天沒事,第三天又開始發生相同問題
一定要重新啟動appserv才會正常

我應該要怎麼檢查?
會是網站被植入木馬嗎?
網站有大約8個,7個Wordpress+1個Discuz

拜託各位先進幫幫忙

羊羊 iT邦新手 4 級 ‧ 2014-06-16 17:45:58 檢舉
謝謝!!! 剛剛把沒必要的phpmyadmin都刪除,只留一個 然後刪除內文所寫的東西
感謝資訊
zyman2008 iT邦大師 6 級 ‧ 2014-06-16 17:50:22 檢舉
看到Discuz這個套件.
讓我回想起2010年時,我在做web code inject入侵與防護的演練,就是用Discuz 7.1做demo的.
有很多open source套件,本身的code就存在著弱點.很容易被植入惡意程式.
可以Google 一下 "Discuz vulnerability"
Wordpress應該也一堆弱點,建議也Google 一下 "Wordpress vulnerability"
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
4
mytiny
iT邦超人 1 級 ‧ 2014-06-15 10:08:44
最佳解答
  1. 先清查你的CentOS主機,除了掃毒,重要的是應該關閉沒有需要用到的服務

  2. 主機的位置是否在所謂的DMZ,防火牆應該隔絕沒有必要的連線

  3. FG-200B的CPU都跑到100%,非常可能有DDoS攻擊,之前Win系統時
    有無檢查防火牆紀錄,IPS與DoS防護有無開啟,有無紀錄?
    如有IPS紀錄,FG200B可幫你防護問題,如果是DoS,比較麻煩

由於你提供的資料不夠完整,處理的經過也沒有提到(還是只換了OS)
只能先提部分建議,希望有點幫助。

看更多先前的回應...收起先前的回應...
羊羊 iT邦新手 4 級 ‧ 2014-06-15 15:46:01 檢舉

你好
我大部分的服務都是關掉的,目前看起來是appserv服務有問題
Fortgate是設定在虛擬主機,用NAT。
可是我感覺是內部向外攻擊,fortgate看不到有攻擊的log

CalvinKuo iT邦大師 7 級 ‧ 2014-06-16 09:50:11 檢舉

arthuroyuang提到:
fortgate

若沒設定啟用IPS與應用程式控制,是沒有啥Log的...
若有設,可以看一下IPS設定嗎? 有可能是有偵測未阻擋...

hon2006 iT邦大師 1 級 ‧ 2014-06-16 10:46:26 檢舉
羊羊 iT邦新手 4 級 ‧ 2014-06-16 12:33:07 檢舉

你好,有開啟IPS防護
可是沒什麼log

羊羊 iT邦新手 4 級 ‧ 2014-06-16 12:33:39 檢舉

Fort版本 5.7

羊羊 iT邦新手 4 級 ‧ 2014-06-16 12:35:03 檢舉

剛剛去看DOS策略 是空白的~"~

羊羊 iT邦新手 4 級 ‧ 2014-06-16 13:14:36 檢舉

請問DOS策略是設定全開然後門檻預設,選擇拒絕
這樣可以嗎?
我兩個外對內IP到這台主機的都這樣設定,該主機對外任何IP的也這樣設定
剛剛測試這台主機的網站變得比較慢

哈~
我們是用資安艦隊的Fortgate 200B,配合FTTH
另外有簽約si公司,也可以請他們設定嗎?

mytiny iT邦超人 1 級 ‧ 2014-06-16 14:46:27 檢舉

據我所知台灣的FG200B多半沒有硬碟紀錄Log
所以你看的到的都是很短時間內紀錄在memory的Log紀錄
時間一長就會被其他的Traffic Log給擠掉,所以說要常觀察注意

開啟DoS防護要啟動所有的狀態與紀錄,
採取行動與門檻請自行決定,(你看設備畫面可見)
原則上超過門檻就會有紀錄
另外,DoS政策與防火牆政策一樣
都是可以設很多條,可設定不同的流量進入口政策

至於你簽約的SI公司,如果當初沒有簽這台FG200B
它們未必不肯幫忙,但也有可能不是它們專業的領域
我只能確定的說找資X艦隊,肯定是沒用的...
汗

羊羊 iT邦新手 4 級 ‧ 2014-06-16 14:52:49 檢舉

我剛剛都先用預設把DOS打開
結果CPU跑到100%,可是跟攻擊的100%感覺不同,上網沒有明顯降低,Web Consle也沒有進不去的問題,我剛剛把httpd的ddos防護模組也給裝起來了,只能在觀察。
我這樣需要再重裝一次centos嗎?
前後已經重裝七八次了 哭~

資安艦隊的工程師常常找不到人~"~

mytiny iT邦超人 1 級 ‧ 2014-06-16 15:25:27 檢舉

FG200B DoS的作用是在把你設定門檻值以上的封包丟棄
所以不是攻擊的IP還是能夠運作,只是FG200B會很累
(你可以看一下Log中,進與出的IP)

我看回覆在討論的twtw大大給的那篇文章很好
終究是要解決你appserv的問題(治本)
然後FG200B的防護(IPS&DoS)要做好
不然今天重灌,防護不夠力
明天appserv又中招

至於資X艦隊,I have nothing to say !
Good Lock!

mytiny iT邦超人 1 級 ‧ 2014-06-16 15:49:48 檢舉

如果你有購買FG200B的四合一服務的話
你還有很多工具可以用
包括在防毒的選項中可找到
"阻斷與殭屍網路連線"的設定選項
(內對外政策可啟用)

另外在防火牆物件中,位置設定可以選"地理位置"
這樣在防火牆中的政策就可以避免不必要地區的IP來訪(如大陸)
應用軟體中也有Bot類別可做控制

資安防護無他法,比別人做得更嚴密
更常關注自己網路設備的LOG狀況
就可有效降低風險

個人小小意見,供您參考

羊羊 iT邦新手 4 級 ‧ 2014-06-16 17:20:43 檢舉

阻斷殭屍網路的部分我有打勾~

另外參考twtw的大大,把弱點刪除後
我在網路上找到apache有mod_evasive模組可以用
但剛剛在用的時候發現我的apache不再/usr/local或/usr/sbin底下
我是用yum install的,有重裝過
還有可能有其他路徑嗎?

2
jerryyan
iT邦新手 2 級 ‧ 2014-06-16 10:37:24

先隔離主機與網路的連結然後下netstat來看連線的狀況
或是利用ps -ef等相關指令看是那隻demon在發起攻擊

如果上述作業方式你無法獨立完成,那建議除了找專業人士幫忙外
就是先重灌Server再試試,入侵的方式很多復活的方式也很多
防火牆cpu過高只是結果,root cause沒找出來惡夢不會結束

羊羊 iT邦新手 4 級 ‧ 2014-06-16 12:34:37 檢舉

我整個重裝過 還是一樣QQQ

羊羊 iT邦新手 4 級 ‧ 2014-06-17 16:03:26 檢舉

對阿~ 切掉主機 fort就正常了
目前開啟DDOS後 第一天 正常~~~

2
player
iT邦大師 1 級 ‧ 2014-06-17 14:27:09

你有檔搜尋引擎在用的BOT嗎?
大陸那邊有幾家滿白癡的搜尋引擎
似乎BOT沒寫好
對於某些類型網站的內容抓取會變成無窮回繞
在你的網站設定一下 .htaccess 與 reboots.txt
可以降低不少不必要的流量

看更多先前的回應...收起先前的回應...
羊羊 iT邦新手 4 級 ‧ 2014-06-17 16:04:24 檢舉

沒有在檔蜘蛛耶~

player iT邦大師 1 級 ‧ 2014-06-17 19:02:50 檢舉

各種瀏覽器或機器人的User-Agents
http://www.user-agents.org/

從你的WebServer的log去分析
如果你確定是哪一個BOT在轟你的網站的話
可在你網站的.htaccess
把對方擋掉

player iT邦大師 1 級 ‧ 2014-06-17 19:08:04 檢舉

有個產生.htaccess的工具
http://incredibill.me/htaccess-block-user-agent

不過你要先記得啟用WebServer的RewriteEngine

player iT邦大師 1 級 ‧ 2014-06-17 19:15:17 檢舉

如果你有用過這套log分析工具的話
http://awstats.sourceforge.net/

羊羊 iT邦新手 4 級 ‧ 2014-06-18 08:44:11 檢舉

Webserver看起來還好,大多是另外discuz有看到大量的抓資料,但看起來都還算正常
目前開啟Linux內建防火牆的DDOS防禦跟fortDDOS防禦後就比較沒有這問題了
還在觀察

目前只有查到兩組IP會每天來抓資料連線,然後每天都被封鎖
是來自美國的IP
但看不出來domain是什麼

我要發表回答

立即登入回答