2006年3月16日 星期四

[驚]遭到攻擊

大約一個小時前發現ispaz主機連線明顯的緩慢,登入後發現httpd服務並沒有連線,查看所有連線時發現8080port的apache2服務遭到DDOS攻擊,整個ispaz對外頻寬(2M/256K)幾乎塞滿,於是我馬上關閉受到攻擊的apache2服務,並登入防火牆將8080Port的mapping移除,對外連線皆已恢復,目前已經著手分析記錄檔。

續....
今天早上起來後把防火牆的8080port設定恢復後,發現連線依然持續進行,於是再次關閉,另外在網路上找到的資料顯示,這是SPAM想要透過apache2的http proxy進行跳板的動作,不過由於我沒有使用http proxy所以伺服器回傳首頁回去,造成上傳頻寬不足,目前已經在首頁加上確認,如果是CONNECT要求將不會回傳任何東西



61.58.41.86 - - [16/Mar/2006:08:59:39 +0800] "CONNECT 203.84.195.1:25 HTTP/1.0" 200 1896 "-" "-"
61.224.27.71 - - [16/Mar/2006:08:59:40 +0800] "CONNECT 168.95.5.109:25 HTTP/1.0" 200 1896 "-" "-"
61.58.41.90 - - [16/Mar/2006:08:59:40 +0800] "CONNECT 211.72.254.212:25 HTTP/1.0" 200 1896 "-" "-"
61.58.41.90 - - [16/Mar/2006:08:59:41 +0800] "CONNECT 211.21.34.29:25 HTTP/1.0" 200 1896 "-" "-"



資料來源
http://seclists.org/lists/security-basics/2003/Mar/0038.html
http://forum.de.selfhtml.org/archiv/2003/2/t37113/#m203369