自己的服务器被墙 DDOS 了怎么办

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3551 天前的主题，其中的信息可能已经有所发展或是发生改变。

目前干什么都是内存不足，segment fault 或者 cannot fork 之类的各种报错。重启以后几分钟内正常，过段时间又内存不足了……

segment

内存

fork

18 条回复 • 2015-02-25 15:34:14 +08:00

shiny

2015-02-24 23:55:52 +08:00

还有没有别的证据？

sumhat

2015-02-24 23:56:38 +08:00

换 IP

2015-02-24 23:57:19 +08:00 via iPhone

写个脚本，把访问量异常的的加入黑名单

zhjits

2015-02-24 23:57:54 +08:00

@shiny 没有。任何程序都开不起来，sudo reboot 都要试好几次才能成功的情况下怎么找证据？
我这个判断是根据网络请求突然增加的时间点做出的。

zhjits

2015-02-24 23:58:34 +08:00

@az 什么黑名单？iptables 规则还是 hosts.deny？

ryd994

2015-02-25 00:31:06 +08:00

这不一定就是墙啊，有可能只是被DDoS了而已
开机先把服务关了，不就能收集证据了么

zjgood

2015-02-25 00:43:12 +08:00 via Android

被墙DDOS，你还真有面子。。。

v2015

2015-02-25 00:58:13 +08:00

送你三个锦囊~
lastb | awk '{print $3}' | sort | uniq -c | sort -n | sed '1,2d'

cd /var/log
less secure

cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1

abelyao

2015-02-25 01:07:19 +08:00

想知道从哪看出是被 “墙” DDOS 的

wy315700

2015-02-25 07:09:36 +08:00 via Android

真是什么东西都往墙上赖。
真要攻击也是动用肉鸡

futursolo

2015-02-25 07:57:59 +08:00

service networking（centos是network） stop，把网络当掉，然后用Lish连上去看日志。主要是看解析的主机名有没有facebook.com等等的被墙的主机名。

2015-02-25 08:54:33 +08:00

@zhjits iptables

zhjits

2015-02-25 10:22:26 +08:00

@ryd994 我这机子上没有任何公开服务

cevincheung

2015-02-25 10:56:49 +08:00

先关机。然后cloudflare

Themyth

2015-02-25 11:01:07 +08:00

墙只是旁路，哎~~~

ryd994

2015-02-25 12:14:39 +08:00 via Android

@zhjits 没开服务哪来的connection，除非output。是没有还是没公开？
不要低估扫端口党

zhjits

2015-02-25 12:28:46 +08:00

@ryd994 没公开，服务还是有的 = =

ryd994

2015-02-25 15:34:14 +08:00

@zhjits netstat -tn 看看哪个端口，把相应的服务关了先。然后想办法查吧