Konfiguracja serwerów, usług, itp.
ast89
Posty: 16 Rejestracja: 24 czerwca 2009, 09:38
Post
autor: ast89 21 sierpnia 2011, 09:56
Witam.
Mam problem z portem 80, otóż strona działała sobie bez problemów na serwerze przez prawie 200dni bez restartów, a tu dzisiaj nagle przestała odpowiadać na tym porcie.
Jak zmienię port na inny w cfg apache to działa bezproblemowo, a na 80 nie chce.
Po skanowaniu nmapem, otrzymuję:
Kod: Zaznacz cały
Starting Nmap 4.62 ( [url]http://nmap.org[/url] ) at 2011-08-21 07:50 UTC
Interesting ports on localhost (127.0.0.1):
Not shown: 1709 closed ports
PORT STATE SERVICE
50541/tcp open ftp
43422/tcp open ssh
25/tcp open smtp
80/tcp [B]filtered[/B] http
111/tcp open rpcbind
3306/tcp open mysql
Czyli port 80 jest w jakiś sposób filtrowany, a wcześniej nie był, dodam że na serwerze nie było nic zmieniane, ani ruszane przez ten czas dodatkowo nie było restartów. Teraz po
restarcie dalej jest to samo.
Proszę o jakieś propozycje rozwiązania tego problemu.
ast89
Posty: 16 Rejestracja: 24 czerwca 2009, 09:38
Post
autor: ast89 21 sierpnia 2011, 11:20
Kod: Zaznacz cały
WYPB001:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Kod: Zaznacz cały
WYPB001:~# lsof -i :80
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
apache2 4334 root 3u IPv6 54551 TCP *:www (LISTEN)
apache2 4340 www-data 3u IPv6 54551 TCP *:www (LISTEN)
apache2 4341 www-data 3u IPv6 54551 TCP *:www (LISTEN)
apache2 4342 www-data 3u IPv6 54551 TCP *:www (LISTEN)
apache2 4343 www-data 3u IPv6 54551 TCP *:www (LISTEN)
apache2 4344 www-data 3u IPv6 54551 TCP *:www (LISTEN)
apache2 4345 www-data 3u IPv6 54551 TCP *:www (LISTEN)
apache2 4356 www-data 3u IPv6 54551 TCP *:www (LISTEN)
A serwer dalej nie łapie nic na porcie 80, ani po domenie ani po IP, natomiast na porcie 81 działa idealnie.
Yampress
Administrator
Posty: 6400 Rejestracja: 09 sierpnia 2007, 21:41Lokalizacja: PL
Post
autor: Yampress 21 sierpnia 2011, 11:27
Dostawca internetu nie blokuje portu 80?
ast89
Posty: 16 Rejestracja: 24 czerwca 2009, 09:38
Post
autor: ast89 21 sierpnia 2011, 11:35
Serwer jest z leaseweb i działał bez problemów, teraz wydałem polecenie:
i otrzymałem:
zrzut ekranu
Więc chyba ktoś wysyła dużo wiadomości w bardzo krótkich odstępach czasu (
ang. flooding ) na port 80.
Bastian
Member
Posty: 1424 Rejestracja: 30 marca 2008, 16:09Lokalizacja: Poznañ
Post
autor: Bastian 21 sierpnia 2011, 12:39
To może być DDOS ale z tego zrzutu jeszcze to wprost nie wynika bo nie pokazujesz czy wszystkie są na port 80. Pewne jest że masz troche tych połączeń i że odbierasz średnio 1.3Mb danych. Pokaż wynik poleceń:
Swoją drogą skoro nie masz firewalla to nie trudno o taką sytuację...
ast89
Posty: 16 Rejestracja: 24 czerwca 2009, 09:38
Post
autor: ast89 21 sierpnia 2011, 13:16
Kod: Zaznacz cały
tcp 0 0 WYPB001.local.local:www 85.122.153.101:58709 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 89.33.182.89.cp.b.:3300 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:2661 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:4277 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 85.122.153.101:58063 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 79-117-21-238.rds:62498 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-67-174-108-32.h:37831 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 91-115-49-83.adsl.:4332 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 79-117-21-238.rds:64320 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 89.33.182.89.cp.b.:3648 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:53493 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:3227 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 90-231-96-15-no90:60260 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 85.122.153.101:56878 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:4116 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:52108 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-24-8-152-102.hs:55459 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:4823 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:3383 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-24-8-152-102.hs:55218 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 48.Red-81-32-247.:13742 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:53497 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 173.Red-83-43-82.d:4503 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 91-115-49-83.adsl.:4791 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 173.Red-83-43-82.d:2824 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:2718 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 217.217.86.146.dy:57147 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 173.Red-83-43-82.d:3065 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-67-174-108-32.h:36220 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 95.76.144.215:50590 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-24-8-152-102.hs:55775 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-24-8-152-102.hs:56179 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 79-117-21-238.rds:65123 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 173.Red-83-43-82.d:3405 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-67-174-108-32.h:40989 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 79-112-201-38.rdsn:4475 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 48.Red-81-32-247.:13854 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:1301 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 91-115-49-83.adsl.:4525 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:3285 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:3075 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 91-115-49-83.adsl.:1344 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 85.122.153.101:56775 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-24-8-152-102.hs:55970 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 188-25-49-6.rdsnet:4304 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:53872 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:53866 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 79-117-21-238.rds:65290 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 95.76.144.215:50655 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 217.217.86.146.dy:56339 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 79-112-201-38.rdsn:4271 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:2446 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:1543 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 188-25-49-6.rdsnet:4584 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 188-26-166-82.rds:50210 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-67-174-108-32.h:45968 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 95.76.144.215:50491 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 79-117-21-238.rds:49419 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:1310 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 173.Red-83-43-82.d:2621 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:52716 SYN_RECV -
tcp 0 0 WYPB001.local.local:www static.kpn.net:51393 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-24-8-152-102.hs:55507 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 217.217.86.146.dy:56522 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 89.33.182.89.cp.b.:3521 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-24-8-152-102.hs:55981 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 217.217.86.146.dy:55415 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 48.Red-81-32-247.:13921 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 79-117-21-238.rds:63770 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 48.Red-81-32-247.:13359 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 217.217.86.146.dy:56465 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 173.Red-83-43-82.d:2156 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-24-8-152-102.hs:55461 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 85.122.153.101:58396 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:2840 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:53799 SYN_RECV -
tcp 0 0 WYPB001.local.local:www static.kpn.net:53058 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 188-25-49-6.rdsnet:4286 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 85.122.153.101:57522 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 217.217.86.146.dy:57646 SYN_RECV -
tcp 0 0 WYPB001.local.local:www static.kpn.net:53312 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 79-117-21-238.rds:65246 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 173.Red-83-43-82.d:2179 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-67-174-108-32.h:33361 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 186.94.9.247:20086 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:52234 SYN_RECV -
tcp 0 0 WYPB001.local.local:www static.kpn.net:52984 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:2816 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:4359 SYN_RECV -
tcp 0 0 WYPB001.local.local:www static.kpn.net:52833 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:52731 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 48.Red-81-32-247.:13878 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 95.76.144.215:50642 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 217.217.86.146.dy:55401 SYN_RECV -
tcp 0 0 WYPB001.local.local:www c-24-8-152-102.hs:55777 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 79-117-21-238.rds:50322 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 217.217.86.146.dy:55186 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 217.217.86.146.dy:57128 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:53563 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:53819 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 91-115-49-83.adsl.:4785 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 85.122.153.101:58624 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 188-25-49-6.rdsnet:3362 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 173.Red-83-43-82.d:3852 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 188-25-49-6.rdsnet:4529 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 48.Red-81-32-247.:13767 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 85.122.153.101:58636 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:1363 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:53822 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:2642 SYN_RECV -
tcp 0 0 WYPB001.local.local:www fiberlink-158-206:52492 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:2691 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 46.222.112.53:4354 SYN_RECV -
tcp 0 0 WYPB001.local.local:www 85.122.153.101:58090 SYN_RECV -
tcp 0 0 *:ssh *:* LISTEN 2317/sshd
tcp 0 0 *:smtp *:* LISTEN 2524/master
tcp 0 17792 WYPB001.local.local:ssh enw196.neoplus.ad:52221 ESTABLISHED 2634/0
tcp 0 0 WYPB001.local.loc:53156 ip-194.54.190.111.:2444 TIME_WAIT -
tcp6 0 0 [::]:www [::]:* LISTEN 4334/apache2
tcp6 0 0 [::]:ftp [::]:* LISTEN 2538/proftpd: (acce
tcp6 0 0 [::]:ssh [::]:* LISTEN 2317/sshd
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:14789 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:16311 LAST_ACK -
tcp6 0 0 WYPB001.local.local:www 77-255-91-70.adsl:55158 TIME_WAIT -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:19361 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:15143 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:16417 LAST_ACK -
tcp6 0 0 WYPB001.local.local:www 77-255-91-70.adsl:55157 TIME_WAIT -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:18712 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:18251 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:14235 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:14833 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:19742 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:19341 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:14616 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:16298 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:15435 LAST_ACK -
tcp6 0 1 WYPB001.local.local:www 186.94.9.247%2368:16586 LAST_ACK -
I jest tego więcej.
Wynik:
http://clip2net.com/s/17L6c
Bastian
Member
Posty: 1424 Rejestracja: 30 marca 2008, 16:09Lokalizacja: Poznañ
Post
autor: Bastian 21 sierpnia 2011, 19:01
Zrób restart apache2, zmonituj ile się pojawia połączeń na port 80. Wynik htopa nie pokazuje ile zajętości CPU biorą procesy apache2. Jakiej przepustowości masz łącze na tym serwerze? Czas napisać firewalla, kolego. Sprawdź sobie od razu system na obecność złośliwego kodu (chkrootkit, rkhunter).
ast89
Posty: 16 Rejestracja: 24 czerwca 2009, 09:38
Post
autor: ast89 21 sierpnia 2011, 19:58
Po restarcie serwera apache od razu są połączenia do niego z
R umuni,
A rgentyny,
H iszpanii oraz
I zraela. Łącze mam 10Mbit więc 1.3MB/s to maksimum ile mogą mi
http://addpic.pl/pic-3abb18b4d3a3aed.png - procesy apache.
Kod: Zaznacz cały
rkhunter
/usr/sbin/unhide [ Warning ]
/usr/sbin/unhide-linux26 [ Warning ]
Chkrootkit nic nie znalazł.
Jest jakiś sposób aby zbanować całe zakresy adresów ip z wcześniej wymienionych państw?
Zrobiłem w ipfilter drop na IP atakujące, a i tak dalej otrzymuję połączenie.
Kod: Zaznacz cały
WYPB001:~# iptables -L | grep DROP
DROP all -- 109.99.67.35 anywhere
DROP all -- 86-121-139-28.rdsnet.ro anywhere
DROP all -- 188-26-51-178.rdsnet.ro anywhere
DROP all -- 79-116-238-242.dynamic.brasov.rdsnet.ro anywhere
DROP all -- host97.190-30-39.telecom.net.ar anywhere
DROP all -- host97.190-30-39.telecom.net.ar anywhere
DROP all -- 79-116-238-242.dynamic.brasov.rdsnet.ro anywhere
DROP all -- 188-26-51-178.rdsnet.ro anywhere
DROP all -- 86-121-139-28.rdsnet.ro anywhere
DROP all -- host97.190-30-39.telecom.net.ar anywhere
DROP all -- 109.99.67.35 anywhere
DROP all -- 197.Red-79-151-254.dynamicIP.rima-tde.net anywhere
DROP all -- 109.99.13.73 anywhere
DROP all -- 85.122.153.101 anywhere
DROP all -- 188-27-105-227.rdsnet.ro anywhere
DROP all -- 79-114-42-91.rdsnet.ro anywhere
DROP all -- 79-112-94-213.iasi.fiberlink.ro anywhere
DROP all -- bl19-175-173.dsl.telepac.pt anywhere
DROP all -- corporat190-027192178.sta.etb.net.co anywhere
DROP all -- 12.51.184.5 anywhere
DROP all -- host240.186-124-182.telecom.net.ar anywhere
DROP all -- 86-126-115-153.rdsnet.ro anywhere
DROP all -- 186.66.169.228 anywhere
DROP all -- adsl190-28-141-27.epm.net.co anywhere
DROP all -- c-68-49-1-46.hsd1.ca.comcast.net anywhere
DROP all -- adsl190-71-201-89.epm.net.co anywhere
DROP all -- 17.Red-79-152-6.dynamicIP.rima-tde.net anywhere
Bastian
Member
Posty: 1424 Rejestracja: 30 marca 2008, 16:09Lokalizacja: Poznañ
Post
autor: Bastian 22 sierpnia 2011, 12:08
Sposób na blokadę zakresów IP jest ale musiałbyś rekompilować jądro oraz iptables włączając do niego coś takiego jak geoip. Spójrz:
http://www.debian-administration.org/articles/518
Jednak to niekoniecznie uchroni Cię przed tego typu problemami, bo nagle się okaże, że masz ataki ddos z połączeń lokalizacji, które siłą rzeczy musisz dopuszczać. Musisz napisać firewalla z wykorzystaniem modułów conntrack lub recent. Upewnij się, że na pewno nie masz połączeń z jakiś/na jakieś dziwne usługi w systemie, słowem czy system jest przejęty, czy to może jedynie ddos z zewnątrz. Jeżeli to drugie to dobry firewallem to zablokujesz. Inna sprawa, że z tego co widze to apache nie zabiera Ci dużo czasu procesora, więc w sumie dziwne, że nie możesz odpalić strony. Chyba, że masz limit połączeń na apache i wszystkie są wykorzystane. Przepustowość twojego łącza też jest niezagrożona z tego co widze. Ale być może źle patrze na te twoje zrzuty ekranu. Zrób firewalla.
