LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区! › 社区 › ==服务安全监控专家== › 日志分析 › WEN服务器被攻击

查看: 957|回复: 7

WEN服务器被攻击 [复制链接]

xq251314

高级会员

Rank: 4

签到: 17

注册时间: 2010-3-22
最后登录: 2012-3-12
在线时间: 36 小时
阅读权限: 50
积分: 627
帖子: 10
主题: 2
精华: 0
UID: 7333

发表于 2011-7-27 11:13:37 |显示全部楼层

今天早上WEB服务器被攻击，造成系统负载突然上升，后台从而打开很慢，查看监控发现流量莫名上升，换衣被攻击，查看WEB日志发现有如下的这样的请求.......122.224.33.56 - - [27/Jul/2011:04:13:11 +0800] "GET /?gallery--n,%E9%AB%98%E7%BA%A7%E9%9D%B4%E5%AD%90%E6%94%AF%E6%92%91%E5%A4%B9;xie;%E7%9F%AD%E7%AD%92%E9%9D%B4%E6%92%91;xie;%E9%9D%B4%E5%A4%B9-grid.html HTTP/1.0" 200 12552 "http://www.bfbfbf.com/?gallery--n,%E5%86%85%E8%A1%A3%E5%B8%A6-grid.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
122.224.33.56 - - [27/Jul/2011:04:13:12 +0800] "GET /plugins/cron/cron.php?action=gallery%3Agrid&p= HTTP/1.0" 200 0 "http://www.bfbfbf.com/?gallery--n,%E9%AB%98%E7%BA%A7%E9%9D%B4%E5%AD%90%E6%94%AF%E6%92%91%E5%A4%B9;xie;%E7%9F%AD%E7%AD%92%E9%9D%B4%E6%92%91;xie;%E9%9D%B4%E5%A4%B9-grid.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
122.224.33.56 - - [27/Jul/2011:04:13:12 +0800] "GET /statics/btn-gocart.gif HTTP/1.0" 500 1818 "http://www.bfbfbf.com/?gallery--n,%E9%AB%98%E7%BA%A7%E9%9D%B4%E5%AD%90%E6%94%AF%E6%92%91%E5%A4%B9;xie;%E7%9F%AD%E7%AD%92%E9%9D%B4%E6%92%91;xie;%E9%9D%B4%E5%A4%B9-grid.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
122.224.33.56 - - [27/Jul/2011:04:13:12 +0800] "GET /index.php?action=gallery%3Agrid&p= HTTP/1.0" 500 2024 "http://www.bfbfbf.com/?gallery--n,%E9%AB%98%E7%BA%A7%E9%9D%B4%E5%AD%90%E6%94%AF%E6%92%91%E5%A4%B9;xie;%E7%9F%AD%E7%AD%92%E9%9D%B4%E6%92%91;xie;%E9%9D%B4%E5%A4%B9-grid.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
122.224.33.56 - - [27/Jul/2011:04:13:18 +0800] "POST /?cart-ajaxAdd.html HTTP/1.0" 200 0 "http://www.bfbfbf.com/?gallery--n,%E9%AB%98%E7%BA%A7%E9%9D%B4%E5%AD%90%E6%94%AF%E6%92%91%E5%A4%B9;xie;%E7%9F%AD%E7%AD%92%E9%9D%B4%E6%92%91;xie;%E9%9D%B4%E5%A4%B9-grid.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

觉得这个IP不正常，就用iptables封掉，发现封掉之后负载才下去......对安全这块不是很擅长，目前公司也没有安全工程师，想请教各位类似这样的攻击属于什么攻击，对于这种类型的攻击以后用方案防范......请各位大牛给小弟一些方法，谢谢。

使用道具举报

源泉星火

LT技术团队

Rank: 7 Rank: 7 Rank: 7

注册时间: 2008-9-20
最后登录: 2012-5-22
在线时间: 429 小时
阅读权限: 100
积分: 12304
帖子: 2035
主题: 45
精华: 0
UID: 307

发表于 2011-7-27 11:15:03 |显示全部楼层

各种错别字。。。。

Twtter: muxueqz
LinuxTone Gtalk群
LinuxTone推广链接
聊逍遥兮容与：http://Linuxzh.org

使用道具举报

xq251314

高级会员

Rank: 4

注册时间: 2010-3-22
最后登录: 2012-3-12
在线时间: 36 小时
阅读权限: 50
积分: 627
帖子: 10
主题: 2
精华: 0
UID: 7333

发表于 2011-7-27 11:22:11 |显示全部楼层

比较急切，字也飞了起来，大牛们只看重点吧

使用道具举报

末末

论坛元老

Rank: 8 Rank: 8

注册时间: 2010-12-27
最后登录: 2012-5-18
在线时间: 91 小时
阅读权限: 90
积分: 10439
帖子: 158
主题: 48
精华: 0
UID: 11592

发表于 2011-7-27 12:23:37 |显示全部楼层

CC 攻击 ~~
这个你限制下并发线程数就可以了
apache 可以限制
iptables 也可以限制

使用道具举报

三叶草

金牌会员

Rank: 6 Rank: 6

注册时间: 2011-5-11
最后登录: 2012-5-5
在线时间: 50 小时
阅读权限: 70
积分: 2703
帖子: 134
主题: 12
精华: 0
UID: 13580

发表于 2011-7-27 14:58:40 |显示全部楼层

错误

您所请求的网址（URL）无法获取

当尝试读取以下网址（URL）时： http://www.bfbfbf.com/

发生了下列的错误：

Connection Failed
连接失败
系统返回以下内容：

(110) Connection timed out
The remote host or network may be down. Please try the request again.
您要连结的网络服务器或网络可能发生故障。请稍后再试。

本缓存服务器管理员：www.cdnunion.com
CDN Node by FireWall-33.56 (CUWEBCACHE/1.4.0.3)

使用道具举报