Linux

追踪正在進行的攻擊

  • October 9, 2012

我注意到以下很多:

Firewall: *TCP_OUT Blocked* IN= OUT=eth0 SRC=ME DST=OUT LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=44395 DF PROTO=TCP SPT=55901 DPT=10080 WINDOW=14600 RES=0x00 SYN URGP=0

如何確定哪個網站正在發送此類攻擊?

PHP 在 CloudLinux 中作為 fast_cgid 執行。

如果如您的日誌所示,數據包源自您的系統,那麼您需要弄清楚的不是“哪個網站正在發送這樣的攻擊”,而是您系統上的什麼(或誰)正在產生流量。

現在,Amanda 備份系統最常使用 TCP 埠 10080。如果您已將 Amanda 設置為將您的伺服器備份到遠端主機,那麼這可能是導致流量的原因(如果它被阻止,那麼您的備份將無法正常工作!)。

(一些 PC 遊戲也使用 TCP 埠 10080,但我想你不是在這個 Linux 機器上玩 PC 遊戲……)

要找出誰發起了連接,請修改每個防火牆日誌記錄規則以添加--log-uid. 啟動連接的使用者 ID 將被記錄為UID=###。一個例子:

iptables ..... -j LOG --log-uid ...

引用自:https://serverfault.com/questions/436218