Gość normanos Zgłoś post Napisano Styczeń 16, 2006 Używam APF jako firewalla (http://www.rfxnetworks.com/apf.php) i antidos skyptu dołączonego do niego. Wczoraj nagle zostałem zasypany mailami o 'niby' ataku z kilku polskich IP. Sprawdziłem je, występują kilka razy w logach apacha, ale widac, że to zwykli userzy (z chello i jakiejś lokalnej sieci), poza tym w danych godzinach nie znalazłem żadnych wywołań www (chyba, że przeoczyłem) a niby połączenia były na port 80 serwera. Więc mam takie wrażenie, że to nie był żaden atak tylko.. no własnie nie wiem co, nie mam doświadczenia wtej kwestii. połączenia były z IP w/w sieci z niestandardowych portów :3240 :2581 :3836 :2155 :50175 z drugiej strony w tych 2 minutach nagle musiało byc sporo połączeń z 5-6 IP bo wykresy CPU skoczyly mocno do góry, load, wykorzystanie hdd, wszystko mocno skoczyło. Co o tym myslicie? :| Udostępnij ten post Link to postu Udostępnij na innych stronach
hyhyhy 0 Zgłoś post Napisano Styczeń 16, 2006 Sprawdź swój server pod kątem rootkitów. Pozdr. Udostępnij ten post Link to postu Udostępnij na innych stronach
bezsciemy 0 Zgłoś post Napisano Styczeń 16, 2006 Używam APF jako firewalla (http://www.rfxnetworks.com/apf.php) i antidos skyptu dołączonego do niego.Co o tym myslicie? :| Albo wyłącz ten antidos (nie jest najlepszy) albo zmień jego konfigurację. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość normanos Zgłoś post Napisano Styczeń 16, 2006 ---------------------------- Scan results ---------------------------- MD5 MD5 compared: 0 Incorrect MD5 checksums: 0 File scan Scanned files: 342 Possible infected files: 0 Application scan Vulnerable applications: 0 Scanning took 117 seconds wszystko okej. hmm, mam juz przypuszczenie po analizie logów: w tym czasie user dodawał wiele (dziesiątki) subdomen i apache byl przeladowywany. dziwna sprawa :/ --edit: nie wiem czy lepszy czy gorszy. na wht.com wszyscy bezwzglednie radzili APF+AD+BFD wiec posluchalem tych rad Udostępnij ten post Link to postu Udostępnij na innych stronach
