[驚]遭到攻擊

大約一個小時前發現ispaz主機連線明顯的緩慢，登入後發現httpd服務並沒有連線，查看所有連線時發現8080port的apache2服務遭到DDOS攻擊，整個ispaz對外頻寬(2M/256K)幾乎塞滿，於是我馬上關閉受到攻擊的apache2服務，並登入防火牆將8080Port的mapping移除，對外連線皆已恢復，目前已經著手分析記錄檔。

續....
今天早上起來後把防火牆的8080port設定恢復後，發現連線依然持續進行，於是再次關閉，另外在網路上找到的資料顯示，這是SPAM想要透過apache2的http proxy進行跳板的動作，不過由於我沒有使用http proxy所以伺服器回傳首頁回去，造成上傳頻寬不足，目前已經在首頁加上確認，如果是CONNECT要求將不會回傳任何東西

61.58.41.86 - - [16/Mar/2006:08:59:39 +0800] "CONNECT 203.84.195.1:25 HTTP/1.0" 200 1896 "-" "-"
61.224.27.71 - - [16/Mar/2006:08:59:40 +0800] "CONNECT 168.95.5.109:25 HTTP/1.0" 200 1896 "-" "-"
61.58.41.90 - - [16/Mar/2006:08:59:40 +0800] "CONNECT 211.72.254.212:25 HTTP/1.0" 200 1896 "-" "-"
61.58.41.90 - - [16/Mar/2006:08:59:41 +0800] "CONNECT 211.21.34.29:25 HTTP/1.0" 200 1896 "-" "-"

資料來源
http://seclists.org/lists/security-basics/2003/Mar/0038.html
http://forum.de.selfhtml.org/archiv/2003/2/t37113/#m203369