黑色海岸线论坛 - Powered by Discuz! Board

标题: [求助] 遭受极为严重的攻击，症状非常奇怪 [打印本页]

作者: 黑客菜鸟007 时间: 2007-5-18 15:31 标题: 遭受极为严重的攻击，症状非常奇怪

各位高手救命，遭受极为严重的攻击，症状非常奇怪

环境：
Lin ux（红冒9.0) ap ache2.0 m ysql5.1
症状：
有后缀为xxxIP.broad.XX（如：netstat -lat 能够看到很多这样的连接tcp 0 0 ::ffff:211.147.214.227:http 202.200.178.61.broad.l:1205 CLOSE_WAIT）的连接不断增加，几分钟后apache down，80端口还没有down，重启apac he立刻恢复。
ping 202.200.178.61.broad.l 得到IP：202.106.195.30
我们已经通过IPTABLES封掉了这个IP，但是还是有各种各样xxx.xxx.xxx.xx.broad.xx的IP连接，而且只要这样的连接一停止，网站立刻恢复正常，哪位高人能给点建议，服务器托管再I DC，100M共享。

附件是PING以及NETSTAT -LAT看到的效果

作者: fcts1230 时间: 2007-5-18 20:15

不会是DDOS吧

作者: 黑色叶子 时间: 2007-5-18 22:34

这样的情况同样出现在我ＷＩＮＤＯＷＳ２００３机器上，我用黑冰一封就好了，你应该开启或者找相关防火墙，封锁ＴＣＰ　ＰＯＲＴＳＣＡＮ

作者: 花无缺 时间: 2007-5-19 12:08

有防火墙吗
封锁80端口
具体的我也不太清楚
没遇到过类似情况

作者: damnyou 时间: 2007-5-20 11:22

楼上的老兄，他是网站呢，封了80还搞什么啊？

系统广播？

“apache down，80端口还没有down”是什么意思？难道不是apache开启的80端口吗？

作者: damnyou 时间: 2007-5-20 11:41

TCP m:2116                43.207.60.58.broad.sz.gd.dynamic.163data.com.cn:
3077  FIN_WAIT_2    主栈中
  TCP m:2117                182.219.188.61.broad.nj.sc.dynamic.163data.com.c
n:3077  SYN_SENT       主栈中

正常，据说是P2P软件造成的，我开了讯雷，根据P2P协议（比如BT的协议），现在本机正往外发送数据。
你查看一下，你那机器上有没有这样类似的东西。
这些是ISP的动态IP地址的反向解析名字。

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)