Apache-2.2

在 Ubuntu/Apache2 上拒絕與特定主機名的連接

  • August 31, 2014

我的 wordpress EC2 伺服器可能被黑了。執行iftop命令時,我可以看到我的伺服器從主機名“i157panamamails.com”發送和接收數據。

這個主機名永遠不會消失並佔用大量頻寬。我想阻止伺服器與此主機名通信並完全拒絕它。我嘗試deny from在 .htaccess 中添加一個並重新啟動 Apache2 伺服器(使用 Ubuntu 10.0),但沒有幫助,我仍然看到主機名連接處於活動狀態。也許連接不是來自 Apache2,但據我所知,這是唯一安裝的伺服器。

如何防止伺服器拒絕此主機名?

更多資訊:

  • etc/hosts我只有 127.0.0.1
  • 在 etc/resolve.conf 我有:

名稱伺服器

$$ some_ip_address $$<— 此 IP 用於 EC2,所以這裡沒有問題 域 ec2.internal

搜尋 ec2.internal

  • resolve.conf 中的 IP 無法解析為主機名
  • 在埠 22/21/80 上使用 lsof 命令在連接中找不到主機名。埠 21 有一個連接供 root 使用者監聽,但埠 21 在 EC2 安全組中未打開且埠 443 (HTTPS) 沒有連接
  • 似乎連接不在 apache 的埠 80 上,因為 lsof 僅顯示我在特定時間範圍內的連接,並且我看到該主機名的連接在網路列印中仍然處於活動狀態。我假設另一個充當伺服器的軟體可能會在與 Apache 無關的已打開埠 80 上初始化該連接
  • 在 eth0 上執行 NetHogs 向我展示了一個程序sshd: ubuntu@pts1在使用者下ubuntu不斷接收和發送數據(不是 Apache2)。看起來很可疑
  • 我還注意到來自 PROGRAM 37:80- 的很多連接(~50)

$$ ip_addresses $$在埠 80 和其他埠上。這些程序不發送或接收數據(大部分)

  • 阻止 host.deny 中的主機名沒有幫助

更新: 我找到了 IP 並在 IPtables(輸出和輸入)中阻止了它。IP 伺服器不會向該 IP 發送數據,它確實每秒接收 240 個字節左右。

好的,首先你可以在你的伺服器上執行 tcpdump 來分析流量。

tcpdump -s 65535 -w ~/traffic_capture.pcap 

然後你可以使用命令從這個文件中讀取:

tcpdump -vv -r ~/traffic_capture.pcap 

或將其下載到您的電腦並使用wireshark進行檢查。

您還可以使用 iptables 記錄所有傳出流量(這是規則):

iptables -A OUTPUT -j LOG 

預設情況下,此流量的日誌將在 /var/log/kern.log 中。

您也可以使用標誌 -n 執行 iftop,這將阻止 iftop 進行主機名查找。

引用 iftop 的聯機幫助頁:

  By  default, iftop will look up the hostnames associated with addresses
  it finds in packets. This can cause substantial traffic of itself,  and
  may  result in a confusing display. You may wish to suppress display of
  DNS traffic by using filter code such as not port domain, or switch  it
  off  entirely, by using the -n option or by pressing r when the program
  is running.

如果你確定你有某種 shell 或惡意軟體,那麼你可以嘗試使用 maldet 或 ai-bolit 來檢查 apache 目錄中的惡意軟體。

引用自:https://serverfault.com/questions/625268