Debianセキュリティ：ポート80での多数の接続

debianサーバー（カーネル：2.6.32-5-amd64）があります。

私は通常、その上で桟橋サーバーを実行しますが、最近では大量の接続を取得し始めました。かなり未知のサーバーなので、このすべてのトラフィックを取得するべきではありません。

ランニング：

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

何百ものIPを出力します。それらをすべてiptablesドロップリストに追加しようとしましたが、新しいIPが表示され続けます。

それから私は先へ進み、Jetty、およびすべての接続を停止しました。これがJettyのバグ/セキュリティホールではないことを確認するために、apache2を起動し、すべての接続がすぐに開始されました。

私は人々がそれをプロキシサーバーとして使用しており、urlsnarfを使用して、フォーラム、広告サイトへの大量の送信リクエストを表示していると思われます。非常に多くの要求を行うため、CPUが上下にジャンプし、最終的にサーバーがクラッシュします。

誰もがこれを行う方法を知っていますか？ポート80にリストされているサーバーのように継ぎ目があり、すぐに開始されます。

これはDDOS攻撃ですか？ポート80のソフトウェアリストでのみ、サーバーをプロキシとして使用する方法はありますか？

hostsdenyをインストールしてdeflate（http://deflate.medialayer.com/）していますが、それでも問題は解決しません。

この問題を保護し、修正する方法を疑ったり、アイデアをお持ちの場合は、非常に感謝しています。

さらにデータを提供する必要がある場合はお知らせください。

高度に感謝します

— ボリ
ソース

回答:

サーバーを通過する実際のトラフィックがある場合、これはDDOS攻撃ではありません。

あなたが説明していることは不可能であるべきですが、ハッカーはまだ方法を見つけているかもしれません。サーバーが侵害された場合、攻撃は別の感染したコンピューターを介してネットワーク内から行われた可能性が非常に高くなります。

このサーバーのディスクを再フォーマットし、すべてのソフトウェアを再インストールすることをお勧めします。外部ネットワークと内部ネットワークの両方からファイアウォールで保護されていることを確認してください。

また、このサーバーへのあらゆる種類のアクセス権を持つ内部ネットワーク内のすべてのコンピューターを確認し、将来的にはそのようなアクセスをさらに制限する必要があります。

Apacheについては以下の記事を参照してください（詳細は他の場所で確認できます）。

セキュリティのヒント-Apache HTTPサーバー
 Apache設定を保護する20の方法

Linuxを強化するための多くの記事がありますので、ここにほんのいくつかを示します

20 Linuxサーバー強化セキュリティのヒント
 Red Hat Linuxサーバー強化チェックリスト

— ハリーマック
ソース

harrymcに感謝します-実際には、最新のUbuntu（その仮想マシンであるため、新しいサーバーを作成し、静的IPを割り当てました）でサーバーを再インストールしました。その後、ポート80でJettyサーバーを再び起動しました（デフォルトのサーバーhtmlページのみで）-リクエストが再びフラッディングを開始しました。Jettyを削除して、代わりにapacheをインストールしようとしましたが、apache2サービスを開始するとすぐに（再度、デフォルトの "it works！"ページでのみ）、要求は再びindを叩き始めます。

— ボリ

このVMは固定IPでインターネットに直接接続されていますか？インターネットからのリクエストですか、内部からのリクエストですか？

— ハリーマック

静的/固定IPに直接接続されています。リクエストは世界中から寄せられたものであり、私は他の侵害されたサーバーから推測します。私の他のコメントで述べたように、WiresharkはこれらすべてのリクエストがSYNリクエストであることを示しているので、SYN Floodedになっているのではないかと思っています。pierre.linux.edu/2010/04/…それを防ぐためにこれらの手順を適用しましたが、それでも外部サーバーへのGET要求を行う方法を理解できません。私のサーバーはPORT 80にしかリストされていませんか？

— ボリ

また、SYNフラッディングを回避するためにこれらの手順を追加しても、役に立ちませんでした。動作するのは、iptables内のIPを手動でブロックすることだけですが、新しいIPは表示され続けます。近い将来、これを運用サーバーとして実行することを計画していたため、すべてを単純に自動ブロックすることはできません。これらのリクエストを善意/通常のリクエストから分離する方法がない限り、

— ボリ

私が見る可能性は、このIPの以前の所有者が（1）プロキシサービスを実行していた、（2）P2Pに大きく依存していた、（3）TORなどのネットワークの一部、または（4）ボットネットに感染したメッセンジャーノードとして機能します（5）、またはこのIPセグメントがボットネットによってオーバースキャンされます。この前の所有者がIPの変更を要求したり、違法行為のために取り消されたりした可能性があります。それが

— 原因

あまり話題になりませんが、2.6.32-5はローカルルートエクスプロイトに対して脆弱なので、カーネルを更新することをお勧めします。

ただし、Webサイトをホストしている場合は、サーバーが既に侵害され、誰かのプロキシサーバーとして使用されている可能性があります。

念のため、ルートキット対策ソフトウェアもインストールしてください。

通常、wiresharkなどのプログラムを介したトラフィックを見ると、DDoS攻撃はSYNリクエストとして表示されます。

— user2341069
ソース

ご回答有難うございます。Wiresharkは、多くのSYNおよびACKリクエストを表示します。また、あらゆる種類の奇妙な/スパムのURLに対する多くのGET要求を示しています。私が理解していないのは、ポート80で<ソフトウェアを挿入>するときにGETリクエストを送信する方法です。ポート80でソフトウェアのリストをシャットダウンすると、すべてが停止します。

— ボリ

ACKは、これがDDoS攻撃ではない可能性が高いことを意味します。これらの要求は完全に再インストールしても表示されますか？

— user2341069

はい-その仮想サーバー（harrymcの答えに関する私のコメントを参照）であるため、新しいVPS（Debianの代わりに最新のUbuntuで）を作成し、元のサーバーがシャットダウンしている間に同じ静的IPを割り当てようとしました。同じことが再び起こります。Wiresharkは、ACKリクエストよりも多くのSYNリクエストを表示します。

— ボリ

すべての注意をありがとう。

ようやくホスティング会社に手紙を書いて新しいIPを入手しましたが、攻撃は完全に停止しました。

私はまだこれらの攻撃がどのように行われたかについて好奇心が強いので、誰かが何か入力をした場合-私はまだ良い答えに興味があります。しかし、今のところは問題は解決されています。

再度、感謝します。

— ボリ
ソース

→Bolli：これらのSYN＆ACK着信パケは、SYN発信パケに対応していますか？はいの場合、サーバー上のどのプロセスがそれらを送信しているかを分析します。私が推測したように、彼らがあなたの本当のリクエストへの返信ではなかった場合、これらはボットネットからの大規模なスキャンです。

— ダン