全球主机交流论坛

标题: 服务器遭遇诡异的流量攻击，看不明白是什么东西。。。 [打印本页]

作者: guangming84 时间: 2010-12-6 10:38
标题: 服务器遭遇诡异的流量攻击，看不明白是什么东西。。。
遭遇到一个诡异的难题。谁懂。。。

就是在服务器上看到有大流量进来。把带宽跑满。我带宽10M
当我把IIS重启后该流量消失。或者重启机器后也消失。不知道什么时间会再来。

说是DDOS吧。也不像。说是CC吧。那更不是。那到底是什么呢。。。

----------
PS：我服务器10M 限速。上传跑满。所有看不到到底有多大流量进来

作者: kkey 时间: 2010-12-6 10:39
难道是蜘蛛。。

作者: 小夜 时间: 2010-12-6 10:45
把所有的IIS日志都打开，逐一分析日志吧，我也没有其它好方法了。

作者: 瘦够了 时间: 2010-12-6 10:45
蜘蛛或者ARP。。。

作者: cxm 时间: 2010-12-6 10:47
我也遇到过，就这几天的。莫名的自动好了

作者: guangming84 时间: 2010-12-6 10:47
看IIS的 HTTPER 里的 HTTP请求。现在只能看到半夜2点的

网站的话就不用看了。一个是服务器上站很多。再一个就是我曾经也开过流量监控软件和IIS流量监控器来查看。根本查看不到有哪个网站有如此大流量交换。

所有我是超级纳闷啊。。。

作者: guangming84 时间: 2010-12-6 10:49

原帖由 瘦够了 于 2010-12-6 10:45 发表
蜘蛛或者ARP。。。

ARP 应该不是的。

蜘蛛的话就太恐怖了。。。

作者: 小夜 时间: 2010-12-6 10:50
那会不会是同机房的服务器被黑客入侵，然后，APR攻击啊？

作者: guangming84 时间: 2010-12-6 10:50

原帖由 cxm 于 2010-12-6 10:47 发表
我也遇到过，就这几天的。莫名的自动好了

我也是最近半个月才出现的。曾经还把我的香港服务器给弄挂了。机房说我跑了30M带宽。把整个网段都弄挂了。他们说是 DDOS ，

但我怎么看都不像 DDOS

作者: cmse 时间: 2010-12-6 11:07
检查iis 里面程序Php DDOS.呵呵.吧php.ini sock 扩展关掉..

作者: aixuan99 时间: 2010-12-6 11:15
呵呵，我知道，你检查下程序里是不是有很多xx.php这样的文件
然后过2天发现你的网站收录多了几千页

[ 本帖最后由 aixuan99 于 2010-12-6 11:16 编辑 ]

作者: superhero001 时间: 2010-12-6 11:24

原帖由 aixuan99 于 2010-12-6 11:15 发表
呵呵，我知道，你检查下程序里是不是有很多xx.php这样的文件
然后过2天发现你的网站收录多了几千页

兄弟，详细解释一下呢

作者: mslxd 时间: 2010-12-6 11:48
被黑了啊？？？？

作者: cxm 时间: 2010-12-6 12:10
可能有客户放什么程序了吧

作者: domin 时间: 2010-12-6 12:19
捉一下包就能弄清楚的事情至于猜来猜去么?

作者: ineme 时间: 2010-12-6 12:20
不懂，等楼下。

作者: xyz990 时间: 2010-12-6 12:23
提示: 作者被禁止或删除内容自动屏蔽

作者: aixuan99 时间: 2010-12-6 12:43
标题: 回复 12# 的帖子
把多出来的php文件清掉就可以了

作者: smdcn 时间: 2010-12-6 12:54
也可能是迅雷？

作者: cxm 时间: 2010-12-6 12:58
被黑链了？

作者: guangming84 时间: 2010-12-6 13:18

原帖由 aixuan99 于 2010-12-6 12:43 发表
把多出来的php文件清掉就可以了

服务器里有很多站。怎么排查怎么清理

作者: guangming84 时间: 2010-12-6 13:23
不是黑链也不是盗链。我吧所有进程池全部结束掉。流量依旧

作者: guangming84 时间: 2010-12-6 13:24
只有把IIS重启才恢复正常。

作者: 睡在键盘上 时间: 2010-12-6 14:02
被迅雷脱的？

作者: guangming84 时间: 2010-12-6 15:03
应该不是XUNLEI

作者: Captain 时间: 2010-12-6 20:21
楼主联系我，我PM你个规则就行了。

一般是网站被黑，挂了help.php（或者其他文件名）对外发UDP包造成的

作者: cxm 时间: 2010-12-6 20:26
标题: 回复 27# 的帖子
有linux的规则不？

作者: vcnnd 时间: 2010-12-6 20:29
看楼主是不是卖空间的，如果是，可能是有空间客户上传PHP文件，对外发包

作者: piaog 时间: 2010-12-6 21:13
坐观真相
限制下单个IP的速度能否有效？

作者: cxm 时间: 2010-12-6 21:16
lz说的是别人打过来的流量不是溜出去的流量

作者: Captain 时间: 2010-12-6 21:17

原帖由 cxm 于 2010-12-6 20:26 发表
有linux的规则不？

你这么高明自己写个不就成了
iptables

1，先屏蔽所有对外udp
2，额外允许53端口对外udp

或者

1，直接屏蔽80端口对外udp

作者: king_bette 时间: 2010-12-6 21:17
直接添加TCP/IP筛选, 把UDP包过滤了.

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)