追踪正在進行的攻擊

我注意到以下很多：

Firewall: *TCP_OUT Blocked* IN= OUT=eth0 SRC=ME DST=OUT LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=44395 DF PROTO=TCP SPT=55901 DPT=10080 WINDOW=14600 RES=0x00 SYN URGP=0

如何確定哪個網站正在發送此類攻擊？

PHP 在 CloudLinux 中作為 fast_cgid 執行。

如果如您的日誌所示，數據包源自您的系統，那麼您需要弄清楚的不是“哪個網站正在發送這樣的攻擊”，而是您系統上的什麼（或誰）正在產生流量。

現在，Amanda 備份系統最常使用 TCP 埠 10080。如果您已將 Amanda 設置為將您的伺服器備份到遠端主機，那麼這可能是導致流量的原因（如果它被阻止，那麼您的備份將無法正常工作！）。

（一些 PC 遊戲也使用 TCP 埠 10080，但我想你不是在這個 Linux 機器上玩 PC 遊戲……）

要找出誰發起了連接，請修改每個防火牆日誌記錄規則以添加--log-uid. 啟動連接的使用者 ID 將被記錄為UID=###。一個例子：

iptables ..... -j LOG --log-uid ...

引用自：https://serverfault.com/questions/436218