全球主机交流论坛

标题: 网站昨天被攻击，但是攻击手法灰常诡异！ [打印本页]

作者: ★Extreme★ 时间: 2013-4-7 12:51
标题: 网站昨天被攻击，但是攻击手法灰常诡异！
我网站的环境是apache做后端，varnish做前端。且面板处只开放了22和80。
昨天早上，突然发现网站响应很慢，于是看了下探针，内存占用了500多MB，平均负载也很高，结束apache后就无法再次启动，一直提示端口被占用。于是直接重启系统。重启后看了下，负载还是很高。看了下日志，几十分钟内大部分是我的ip。没发现什么异常。执行top，发现占用资源的都是apache。如果被ccdd，那么一定有很大的上行或下行，于是看了下流量变化，发现eth0的上下行就那几kb，多则十多kb，但是lo却高达几百kb每秒，甚至上mb。于是在单手摘jj的指引下看了下链接数，发现和一个ip的链接数保持在400到500之间。于是用iptables ban了那ip，网站立马恢复正常了。
这攻击太诡异了，居然不是发起get请求，不留记录，不占用我eth0的带宽，却用lo的，最牛的是还能让我的apache创建那么多进程，上了varnish，apache根本不会有那么多进程。而且一旦结束apache后，就无法再次启动，提示端口被占用，检测却没发现占用端口的程序，必须重启系统。而且只有400多链接数，如果400多连接数直接get我网站是根本没这种效果的。
这么牛逼的攻击手法，有人知道是啥么……

作者: HostlocAdmin 时间: 2013-4-7 12:52
提示: 作者被禁止或删除内容自动屏蔽

作者: luyu 时间: 2013-4-7 12:54
太好了

作者: light 时间: 2013-4-7 12:56
好牛B

作者: wnbinker 时间: 2013-4-7 12:56
有个apache的漏洞和你所说的状况差不多，你把你网址发一下，我试试，你记得看日志。

作者: 黄小鸡 时间: 2013-4-7 12:56

作者: 啪啪啪啪啪 时间: 2013-4-7 12:56
提示: 作者被禁止或删除内容自动屏蔽

作者: ★Extreme★ 时间: 2013-4-7 12:58

wnbinker 发表于 2013-4-7 12:56
有个apache的漏洞和你所说的状况差不多，你把你网址发一下，我试试，你记得看日志。 ...

一边去，那效果太牛逼了，不想再试……

作者: xen 时间: 2013-4-7 13:00
nginx抗攻击各种维护，200一次

作者: ★Extreme★ 时间: 2013-4-7 13:02
睡觉先，希望不要再遇到此人

作者: 单手摘月 时间: 2013-4-7 13:08
提示: 作者被禁止或删除内容自动屏蔽

作者: ★Extreme★ 时间: 2013-4-7 13:09

xen 发表于 2013-4-7 13:00
nginx抗攻击各种维护，200一次

自己都搞得定……不喜欢nginx所以用varnish

作者: xen 时间: 2013-4-7 13:13
标题: RE: 网站昨天被攻击，但是攻击手法灰常诡异！
本帖最后由 xen 于 2013-4-7 13:15 编辑

★Extreme★ 发表于 2013-4-7 13:09
自己都搞得定……不喜欢nginx所以用varnish

没个4g内存都不好意思用，用这些大气配置，机器是16g的么

作者: kwx 时间: 2013-4-7 13:49

xen 发表于 2013-4-7 13:13
没个4g内存都不好意思用，用这些大气配置，机器是16g的么

楼主在用1G VPS，别笑他了

作者: zhangjian 时间: 2013-4-7 14:08

xen 发表于 2013-4-7 13:00
nginx抗攻击各种维护，200一次

mjj

作者: sdgl212 时间: 2013-4-7 14:18

不明觉厉

作者: 单手摘月 时间: 2013-4-7 15:56
提示: 作者被禁止或删除内容自动屏蔽

作者: 藐视天地 时间: 2013-4-7 17:34

碉堡了

作者: liangcq132 时间: 2013-4-7 17:55
楼主是高手！

作者: 总书记 时间: 2013-4-7 17:58
不明觉厉

作者: shuir 时间: 2013-4-7 18:05
提示: 作者被禁止或删除内容自动屏蔽

作者: ★Extreme★ 时间: 2013-4-7 18:15

xen 发表于 2013-4-7 13:13:15

没个4g内存都不好意思用，用这些大气配置，机器是16g的么

表示我的1GB用了varnish这么久，用得很爽，想赚钱而已，我懂的，不用这么说！

作者: xiaoniou 时间: 2013-4-7 20:28
提示: 作者被禁止或删除内容自动屏蔽

作者: kermit 时间: 2013-4-7 20:38
webtest

作者: 犯戒心 时间: 2013-4-7 20:44

作者: skwinx 时间: 2013-4-7 20:52
楼主，这叫php hash攻击

作者: ★Extreme★ 时间: 2013-4-7 23:00

skwinx 发表于 2013-4-7 20:52:31
楼主，这叫php hash攻击

虽不明，但觉厉。百度了下，是对我网站post一些特殊的数据？

作者: 下面都湿了 时间: 2013-4-7 23:01

★Extreme★ 发表于 2013-4-7 23:00
虽不明，但觉厉。百度了下，是对我网站post一些特殊的数据？

提供日志呀

作者: ★Extreme★ 时间: 2013-4-8 12:15

下面都湿了发表于 2013-4-7 23:01
提供日志呀

日志里面没有他的ip

作者: heyxiu 时间: 2013-4-8 12:34

xen 发表于 2013-4-7 13:00
nginx抗攻击各种维护，200一次

包夜多少钱？

欢迎光临全球主机交流论坛 (https://443502.xyz/)