自己的服务器被墙 DDOS 了怎么办

This topic created in 4105 days ago, the information mentioned may be changed or developed.

目前干什么都是内存不足，segment fault 或者 cannot fork 之类的各种报错。重启以后几分钟内正常，过段时间又内存不足了……

segment

内存

fork

18 replies • 2015-02-25 15:34:14 +08:00

shiny

PRO

Feb 24, 2015

还有没有别的证据？

sumhat

Feb 24, 2015

换 IP

Feb 24, 2015 via iPhone

写个脚本，把访问量异常的的加入黑名单

zhjits

Feb 24, 2015

@shiny 没有。任何程序都开不起来，sudo reboot 都要试好几次才能成功的情况下怎么找证据？
我这个判断是根据网络请求突然增加的时间点做出的。

zhjits

Feb 24, 2015

@az 什么黑名单？iptables 规则还是 hosts.deny？

ryd994

Feb 25, 2015

这不一定就是墙啊，有可能只是被DDoS了而已
开机先把服务关了，不就能收集证据了么

zjgood

Feb 25, 2015 via Android

被墙DDOS，你还真有面子。。。

v2015

Feb 25, 2015

送你三个锦囊~
lastb | awk '{print $3}' | sort | uniq -c | sort -n | sed '1,2d'

cd /var/log
less secure

cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1

abelyao

Feb 25, 2015

想知道从哪看出是被 “墙” DDOS 的

wy315700

Feb 25, 2015 via Android

真是什么东西都往墙上赖。
真要攻击也是动用肉鸡

futursolo

Feb 25, 2015

service networking（centos是network） stop，把网络当掉，然后用Lish连上去看日志。主要是看解析的主机名有没有facebook.com等等的被墙的主机名。

Feb 25, 2015

@zhjits iptables

zhjits

Feb 25, 2015

@ryd994 我这机子上没有任何公开服务

cevincheung

Feb 25, 2015

先关机。然后cloudflare

Themyth

Feb 25, 2015

墙只是旁路，哎~~~

ryd994

Feb 25, 2015 via Android

@zhjits 没开服务哪来的connection，除非output。是没有还是没公开？
不要低估扫端口党

zhjits

Feb 25, 2015

@ryd994 没公开，服务还是有的 = =

ryd994

Feb 25, 2015

@zhjits netstat -tn 看看哪个端口，把相应的服务关了先。然后想办法查吧