2014-1-11 14:58 收到信息,雲服務器存在對外DDOS攻擊.
2014-1-11 15:30 首先查看服務器監控記錄(后截屏)
發現網絡在14點和18點時,網絡突然異常.應該是受到了劫持
2014-1-11 15:50 使用服務器自帶的Chkrootkit檢測是否被暴力破解
直接運行
# chkrootkit
沒有發現異常
2014-1-11 16:02 下載Rootkit Hunter進行檢測
# wget http://cznic.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz (下載) # tar zxvg rkhunter-1.4.2.tar.gz (解壓) ... # rkhunter-1.4.2/installer.sh (安裝) ... # rkhunter -c (安裝完成之后,檢測)
發現一堆Warning,不知道什么意思
Checking for prerequisites [ Warning ]
/sbin/ifdown [ Warning ]
/sbin/ifup [ Warning ]
/usr/bin/GET [ Warning ]
/usr/bin/ldd [ Warning ]
/usr/bin/whatis [ Warning ]
Performing system configuration file checks
Checking if SSH root access is allowed [ Warning ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
2015-01-11 17:01 嘗試自行解決,使用setup重新設置防火牆,關閉tcp:8080端口,重啟防火牆等操作
2015-01-11 20:27 殺毒無果,為了防止服務器被鎖,馬上下阿里雲工單,說明問題,請求技術支持
2015-01-11 20:31 從阿里工程師那邊得到被攻擊的機器IP為 xxx.xxx.xxx.xxx
2015-01-11 21:22 使用抓包命令查看本機攻擊的程序
tcpdump -i eth1 dst xxx.xxx.xxx.xxx
監控15分鍾,發現沒有任何包被抓取,警報解除,阿里雲回復 [查看該次惡意掃描的流程已經結束]
事后補救
開啟下雲盾的web攻擊攔截高級設置,添加CNAME域名