Linux
追踪正在進行的攻擊
我注意到以下很多:
Firewall: *TCP_OUT Blocked* IN= OUT=eth0 SRC=ME DST=OUT LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=44395 DF PROTO=TCP SPT=55901 DPT=10080 WINDOW=14600 RES=0x00 SYN URGP=0
如何確定哪個網站正在發送此類攻擊?
PHP 在 CloudLinux 中作為 fast_cgid 執行。
如果如您的日誌所示,數據包源自您的系統,那麼您需要弄清楚的不是“哪個網站正在發送這樣的攻擊”,而是您系統上的什麼(或誰)正在產生流量。
現在,Amanda 備份系統最常使用 TCP 埠 10080。如果您已將 Amanda 設置為將您的伺服器備份到遠端主機,那麼這可能是導致流量的原因(如果它被阻止,那麼您的備份將無法正常工作!)。
(一些 PC 遊戲也使用 TCP 埠 10080,但我想你不是在這個 Linux 機器上玩 PC 遊戲……)
要找出誰發起了連接,請修改每個防火牆日誌記錄規則以添加
--log-uid
. 啟動連接的使用者 ID 將被記錄為UID=###
。一個例子:iptables ..... -j LOG --log-uid ...