网站昨天被攻击，但是攻击手法灰常诡异！

★Extreme★

我网站的环境是apache做后端，varnish做前端。且面板处只开放了22和80。
昨天早上，突然发现网站响应很慢，于是看了下探针，内存占用了500多MB，平均负载也很高，结束apache后就无法再次启动，一直提示端口被占用。于是直接重启系统。重启后看了下，负载还是很高。看了下日志，几十分钟内大部分是我的ip。没发现什么异常。执行top，发现占用资源的都是apache。如果被ccdd，那么一定有很大的上行或下行，于是看了下流量变化，发现eth0的上下行就那几kb，多则十多kb，但是lo却高达几百kb每秒，甚至上mb。于是在单手摘jj的指引下看了下链接数，发现和一个ip的链接数保持在400到500之间。于是用iptables ban了那ip，网站立马恢复正常了。
这攻击太诡异了，居然不是发起get请求，不留记录，不占用我eth0的带宽，却用lo的，最牛的是还能让我的apache创建那么多进程，上了varnish，apache根本不会有那么多进程。而且一旦结束apache后，就无法再次启动，提示端口被占用，检测却没发现占用端口的程序，必须重启系统。而且只有400多链接数，如果400多连接数直接get我网站是根本没这种效果的。
这么牛逼的攻击手法，有人知道是啥么……来自: Android客户端

heyxiu

xen 发表于 2013-4-7 13:00
nginx抗攻击各种维护，200一次

包夜多少钱？

★Extreme★

下面都湿了 发表于 2013-4-7 23:01
提供日志呀

日志里面没有他的ip

下面都湿了

★Extreme★ 发表于 2013-4-7 23:00
虽不明，但觉厉。百度了下，是对我网站post一些特殊的数据？

提供日志呀

★Extreme★

skwinx 发表于 2013-4-7 20:52:31
楼主，这叫php hash攻击

虽不明，但觉厉。百度了下，是对我网站post一些特殊的数据？来自: Android客户端

skwinx

楼主，这叫php hash攻击

犯戒心

kermit

webtest

★Extreme★

xen 发表于 2013-4-7 13:13:15

没个4g内存都不好意思用，用这些大气配置，机器是16g的么

表示我的1GB用了varnish这么久，用得很爽，想赚钱而已，我懂的，不用这么说！来自: Android客户端