Несколько дней назад меня попросили посмотреть сервер (просто VPSку), который стал тормозить. Я зашел туда и увидел, что он не обновлялся более 1 года и что в dmesg куча записей о SYN flood. Вывод команды «iptables -L» пришлось принудительно прервать так как она содержала кучу записей о блокированных fail2ban IP адресах.
Что я сделал для реанимации этого сервера:
1. Сделал полный бэкап как баз данных, так и скриптов.
2. Сделал полное обновление системы.
3. С помощью iptables заблокировал все порты, кроме некоторых нужных.
Прошло уже несколько часов. Периодически туда захожу и проверяю, пока полет нормальный. Есть ли еще какие-нибудь действия, которые нужно предпринять для отражения атаки?
Дело еще в том, что SYN атаки предпринимались еще и на 21 порт, который является FTP. Мне пришлось его открыть, поскольку на сервере стоит proftpd. Как с этим быть?