网站昨天被攻击，但是攻击手法灰常诡异！

★Extreme★

我网站的环境是apache做后端，varnish做前端。且面板处只开放了22和80。
昨天早上，突然发现网站响应很慢，于是看了下探针，内存占用了500多MB，平均负载也很高，结束apache后就无法再次启动，一直提示端口被占用。于是直接重启系统。重启后看了下，负载还是很高。看了下日志，几十分钟内大部分是我的ip。没发现什么异常。执行top，发现占用资源的都是apache。如果被ccdd，那么一定有很大的上行或下行，于是看了下流量变化，发现eth0的上下行就那几kb，多则十多kb，但是lo却高达几百kb每秒，甚至上mb。于是在单手摘jj的指引下看了下链接数，发现和一个ip的链接数保持在400到500之间。于是用iptables ban了那ip，网站立马恢复正常了。
这攻击太诡异了，居然不是发起get请求，不留记录，不占用我eth0的带宽，却用lo的，最牛的是还能让我的apache创建那么多进程，上了varnish，apache根本不会有那么多进程。而且一旦结束apache后，就无法再次启动，提示端口被占用，检测却没发现占用端口的程序，必须重启系统。而且只有400多链接数，如果400多连接数直接get我网站是根本没这种效果的。
这么牛逼的攻击手法，有人知道是啥么……来自: Android客户端

luyu

太好了

light

好牛B

wnbinker

有个apache的漏洞和你所说的状况差不多，你把你网址发一下，我试试，你记得看日志。

黄小鸡

★Extreme★

wnbinker 发表于 2013-4-7 12:56
有个apache的漏洞和你所说的状况差不多，你把你网址发一下，我试试，你记得看日志。 ...

一边去，那效果太牛逼了，不想再试……

xen

nginx抗攻击各种维护，200一次

★Extreme★

睡觉先，希望不要再遇到此人