Apache-2.2
在 Ubuntu/Apache2 上拒絕與特定主機名的連接
我的 wordpress EC2 伺服器可能被黑了。執行
iftop命令時,我可以看到我的伺服器從主機名“i157panamamails.com”發送和接收數據。這個主機名永遠不會消失並佔用大量頻寬。我想阻止伺服器與此主機名通信並完全拒絕它。我嘗試
deny from在 .htaccess 中添加一個並重新啟動 Apache2 伺服器(使用 Ubuntu 10.0),但沒有幫助,我仍然看到主機名連接處於活動狀態。也許連接不是來自 Apache2,但據我所知,這是唯一安裝的伺服器。如何防止伺服器拒絕此主機名?
更多資訊:
- 在
etc/hosts我只有 127.0.0.1- 在 etc/resolve.conf 我有:
名稱伺服器
$$ some_ip_address $$<— 此 IP 用於 EC2,所以這裡沒有問題 域 ec2.internal
搜尋 ec2.internal
- resolve.conf 中的 IP 無法解析為主機名
- 在埠 22/21/80 上使用 lsof 命令在連接中找不到主機名。埠 21 有一個連接供 root 使用者監聽,但埠 21 在 EC2 安全組中未打開且埠 443 (HTTPS) 沒有連接
- 似乎連接不在 apache 的埠 80 上,因為 lsof 僅顯示我在特定時間範圍內的連接,並且我看到該主機名的連接在網路列印中仍然處於活動狀態。我假設另一個充當伺服器的軟體可能會在與 Apache 無關的已打開埠 80 上初始化該連接
- 在 eth0 上執行 NetHogs 向我展示了一個程序sshd: ubuntu@pts1在使用者下
ubuntu不斷接收和發送數據(不是 Apache2)。看起來很可疑- 我還注意到來自 PROGRAM 37:80- 的很多連接(~50)
$$ ip_addresses $$在埠 80 和其他埠上。這些程序不發送或接收數據(大部分)
- 阻止 host.deny 中的主機名沒有幫助
更新: 我找到了 IP 並在 IPtables(輸出和輸入)中阻止了它。IP 伺服器不會向該 IP 發送數據,但它確實每秒接收 240 個字節左右。
好的,首先你可以在你的伺服器上執行 tcpdump 來分析流量。
tcpdump -s 65535 -w ~/traffic_capture.pcap然後你可以使用命令從這個文件中讀取:
tcpdump -vv -r ~/traffic_capture.pcap或將其下載到您的電腦並使用wireshark進行檢查。
您還可以使用 iptables 記錄所有傳出流量(這是規則):
iptables -A OUTPUT -j LOG預設情況下,此流量的日誌將在 /var/log/kern.log 中。
您也可以使用標誌 -n 執行 iftop,這將阻止 iftop 進行主機名查找。
引用 iftop 的聯機幫助頁:
By default, iftop will look up the hostnames associated with addresses it finds in packets. This can cause substantial traffic of itself, and may result in a confusing display. You may wish to suppress display of DNS traffic by using filter code such as not port domain, or switch it off entirely, by using the -n option or by pressing r when the program is running.如果你確定你有某種 shell 或惡意軟體,那麼你可以嘗試使用 maldet 或 ai-bolit 來檢查 apache 目錄中的惡意軟體。