今天服务器突然崩了, 网站访问突然时有时无, 然而查看(阿里云安全组策略 80-开, 防火墙端口配置80 --开, apche服务器配置文件httpd.conf正常, vhost.conf虚拟域名模块也配置正常 ) 大吃一惊, 恐怕是发生了不得了的事情。
1、进程排查
使用top命令查看是否有异常进程, 发现开启了多达30个的httpd进程用户是www(也就是apche的conf文件配置的用户),
上阿里云控制台, 发现入网流量达到10K, cpu占用虽然只达到20%,但是带宽已经被撑爆了
针对进程查杀异常进程比较抽象,一般木马进程会伪装成内核进程来骗你, 所以不好判断。
2、端口查看
排查参考
使用端口检测工具, 检测服务器ip的端口, 发现80时开而时不开
怀疑是apache的问题
使用netstat -ano 80命令查看, 发现
图片.png
针对某个ip一查, 来源地大部分是外国ip, 这些被抓的肉鸡, 受到某个黑客工作室的指挥, 或者某个新手黑客的练手一试, 就来攻击我们这个总访问量不超过10的网站????? 有仇吧大兄弟
3、ip屏蔽
针对DDOS的攻击没有什么好的解决方法, 只能试试ip屏蔽, 测一下该工作室的肉鸡池大还是我的手速快
由于是centos 6,开启防火墙 service iptables start(centos7是systemctl start firewalld)
1 关闭防火墙-----service iptables stop
2 启动防火墙-----service iptables start
3 重启防火墙-----service iptables restart
4 查看防火墙状态--service iptables status
5 永久关闭防火墙--chkconfig iptables off
6 永久关闭后启用--chkconfig iptables on
开启屏蔽
在服务器上进行如下命令操作进行规则设置即可:
iptables -A INPUT -s ip段/网络位数 -j DROP
例如:禁止172.16.1.0/24网段访问服务器,直接在服务器上用命令就可以实现
iptables -A INPUT -s 172.16.1.0/24 -j DROP
(添加规则,所有来自这个网段的数据都丢弃)
/etc/rc.d/init.d/iptables save(保存规则)
service iptables restart(重启iptables服务以便生效)
网友评论