LINUX.ORG.RU
ФорумAdmin

Атака на сервер

 ,


0

1

Привет! Есть сервер с Freebsd 9.0-RELEASE-p, так же на нем крутится апач + пхп + перл. Начал лагать сайт, захожу на сервер по консоли, ввожу netstat -a :

tcp4       0      0 63.133.67.20.34651     www2723.sakura.n.http  SYN_SENT
tcp4       0  33304 63.133.67.20.34650     s219.n14.n84.n66.http  ESTABLISHED
tcp4       0  33792 63.133.67.20.34649     207.134.65.10.http     ESTABLISHED
tcp4       0  14480 63.133.67.20.34648     demon.xssl.net.http    ESTABLISHED
tcp4       0  33304 63.133.67.20.34647     h69-129-137-51.m.http  ESTABLISHED
tcp4       0  51835 63.133.67.20.34646     5.179.82.71.http       ESTABLISHED
tcp4       0  13411 63.133.67.20.34645     static.172.99.4..http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34644     be4.netangels.ru.http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34643     s12.pixelx.de.http     ESTABLISHED
tcp4       0    312 63.133.67.20.34642     cluster003.ovh.n.http  ESTABLISHED
tcp4       0    376 63.133.67.20.34641     server80.hosting.http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34640     112.213.122.47.http    ESTABLISHED
tcp4       0  33304 63.133.67.20.34639     209.104.4.229.http     ESTABLISHED
tcp4       0  38559 63.133.67.20.34638     46.30.212.13.http      ESTABLISHED
tcp4       0      0 63.133.67.20.34637     128.hosttech.eu.http   ESTABLISHED
tcp4       0   4653 63.133.67.20.34636     vps-236614-3850..http  ESTABLISHED
tcp4       0  11811 63.133.67.20.34635     wl40-f263.wedos..http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34633     server.uptimedns.http  ESTABLISHED
tcp4       0    760 63.133.67.20.34632     t99.nlserver.net.http  ESTABLISHED
tcp4       0   4289 63.133.67.20.34631     mutu.phpnet.org.http   ESTABLISHED
tcp4       0  33304 63.133.67.20.34630     187tobmk2.guzel..http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34629     s2.trangwebvang..http  ESTABLISHED
tcp4       0  31856 63.133.67.20.34628     server.grhmaroc..http  ESTABLISHED
tcp4       0      0 63.133.67.20.34627     post.su.http           ESTABLISHED
tcp4       0  33304 63.133.67.20.34626     167.160.162.219.http   ESTABLISHED
tcp4       0   1962 63.133.67.20.34625     zeus.krystal.co..http  ESTABLISHED
tcp4       0      0 63.133.67.20.8080      63.133.67.11.61415     TIME_WAIT
tcp4       0  16507 63.133.67.20.34624     s18054989.online.http  ESTABLISHED
tcp4       0  24808 63.133.67.20.34623     webcluster181.on.http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34622     216.248.13.46.http     ESTABLISHED
tcp4       0  24616 63.133.67.20.34621     50.6.164.163.http      ESTABLISHED
tcp4       0    747 63.133.67.20.34620     33.ip-176-31-175.http  ESTABLISHED
tcp4       0    166 63.133.67.20.34618     hosting8.xidrass.http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34619     elba.webhosters..http  ESTABLISHED
tcp4       0      0 63.133.67.20.34617     zeta.srv2.com.http     ESTABLISHED
tcp4       0    532 63.133.67.20.34616     cometik-easynet0.http  ESTABLISHED
tcp4       0  24616 63.133.67.20.34615     vps5173.inmotion.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34614     mail.activwebdes.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34613     daweb22.oxilion..http  ESTABLISHED
tcp4       0      0 63.133.67.20.34612     149-210-167-251..http  ESTABLISHED
tcp4       0      0 63.133.67.20.34611     104.24.114.54.http     ESTABLISHED
tcp4       0      0 63.133.67.20.34610     wed01.internetst.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34609     188.166.69.229.http    ESTABLISHED
tcp4       0      0 63.133.67.20.34608     ptr-80.prodacom..http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34607     173-233-86-170.s.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34606     hl333.dinaserver.http  ESTABLISHED
tcp4       0   1261 63.133.67.20.34605     185.50.197.20.http     ESTABLISHED
tcp4       0      0 63.133.67.20.34604     LPuteaux-656-1-2.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34602     server88-208-245.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34601     104.27.172.85.http     ESTABLISHED
tcp4       0      0 63.133.67.20.34603     vhosting.humanin.http  ESTABLISHED
tcp4       0  12015 63.133.67.20.34600     da-www04.ballou..http  ESTABLISHED
tcp4       0      0 63.133.67.20.34599     mailex2.serverte.http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34598     37.1.209.176.http      ESTABLISHED
tcp4       0      0 63.133.67.20.34597     ns212355.ip-188-.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34596     v62429.1blu.de.http    ESTABLISHED
tcp4       0      0 63.133.67.20.34595     webcluster230.on.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34594     vl21760.dns-priv.http  ESTABLISHED
tcp4       0  32120 63.133.67.20.34593     ip-69.39.230.131.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34592     webcluster190.on.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34591     ispcp.adminfront.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34590     full-cdn-01.clus.http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34589     113.38-89-161.st.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34588     plesk14.yourname.http  ESTABLISHED
tcp4       0  33580 63.133.67.20.34587     209.216.19.120.http    ESTABLISHED
tcp4       0  10892 63.133.67.20.34586     server91.net36.i.http  ESTABLISHED
tcp4   13882      0 63.133.67.20.34585     horyzont.deho.pl.http  CLOSE_WAIT
tcp4       0  33304 63.133.67.20.34584     box2.imdwebsites.http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34582     34.126.78.112.st.http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34581     www455.sakura.ne.http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34580     206.127.97.76.http     ESTABLISHED
tcp4       0  23168 63.133.67.20.34579     server.hvacclub..http  ESTABLISHED
tcp4       0  33304 63.133.67.20.34578     45.32.32.143.vul.http  ESTABLISHED
tcp4   36667      0 63.133.67.20.34577     ns397606.ip-151-.http  CLOSE_WAIT
tcp4       0  31856 63.133.67.20.34576     www635.sakura.ne.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34575     h73-252.fcsrv.ne.http  ESTABLISHED
tcp4       0  23988 63.133.67.20.34574     64.71.34.149.http      ESTABLISHED
tcp4       0      0 63.133.67.20.8080      63.133.67.11.59201     TIME_WAIT
tcp4       0      0 63.133.67.20.34572     104.28.16.105.http     ESTABLISHED
tcp4   13980      0 63.133.67.20.34571     ip-81-15-164-130.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34570     webcluster187.on.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34569     64.71.34.144.http      ESTABLISHED
tcp4       0      0 63.133.67.20.34568     server2639.serve.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34565     vxhca-28.srv.cat.http  ESTABLISHED
tcp4       0    653 63.133.67.20.34564     lowpinggameserve.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34563     91.226.127.241.http    ESTABLISHED
tcp4       0   5270 63.133.67.20.34562     smtp.mcbridemark.http  ESTABLISHED
tcp4       0   1014 63.133.67.20.34561     host3.eenable.ne.http  ESTABLISHED
tcp4       0  23593 63.133.67.20.34560     host.cr-house.co.http  ESTABLISHED
tcp4       0   9964 63.133.67.20.34559     vux.netsolhost.c.http  ESTABLISHED
tcp4       0  52823 63.133.67.20.34558     www1083.sakura.n.http  ESTABLISHED
tcp4       0  28591 63.133.67.20.34557     74-80-228-114.ic.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34556     whm09.louhi.net.http   ESTABLISHED
tcp4       0   2438 63.133.67.20.34555     23.253.173.198.http    ESTABLISHED
tcp4       0      0 63.133.67.20.34552     webcluster189.on.http  ESTABLISHED
tcp4       0    477 63.133.67.20.34551     webcluster210.on.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34550     posta.cloudef.co.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34549     lb-proxy-15.webs.http  ESTABLISHED
tcp4       0   6592 63.133.67.20.34548     host123.kvchosti.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34547     web01.360ecommer.http  ESTABLISHED
tcp4       0      0 63.133.67.20.34545     web.sjr.fi.http        ESTABLISHED7

Что с этим можно сделать? Спасибо


Твой сервер инициирует обращение к другим WEB серверам И уже не хватает сети (обрати внимание на 3 колонку, это буфер отправки) Так что смотри кто твой сайт захватил, скорее всего скрипт с сайта что-то делает.

uspen ★★★★★ ()
Последнее исправление: uspen (всего исправлений: 1 )
Ответ на: комментарий от uspen

только-что убрал сайт из сервера, путем перемещения файлов сайта, а картина не поменялась

klu41k ()
Ответ на: комментарий от klu41k

Смотри что порты слушает, если слушает, и что в процессах висит. Может там какой while :; do wget или в кроне чего.

entefeed ☆☆☆ ()
Ответ на: комментарий от klu41k

не слушай старпёров с netstat, нормальные посоны юзают lsof -Pni

zolden ★★★★★ ()
Ответ на: комментарий от uspen

Смотри какой процесс командой sockstat -4

uspen ★★★★★ ()

Это не атака на твой сервер. Это твой сервер атакует чужие как член бот-нета.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

обнаружил что атака шла через порт 8080, закрыл этот порт в апаче и все прекратилось. А как можно обнаружить клиент бот-нета?

klu41k ()

случайно ProxyRequests не включены?

snaf ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.