免费注册	查看新帖 \|


平台论坛博客文库

› 论坛 › 备份版区 › 攻防交流区 › 一个客户的网站down了.是受到攻击吗?请高手们提些意见.! ...

最近访问板块

发新帖

查看: 3886 | 回复: 8

上一主题

下一主题

一个客户的网站down了.是受到攻击吗?请高手们提些意见.!!!! [复制链接]

论坛徽章:: 0

电梯直达

跳转到指定楼层

1楼 [收藏(0)] [报告]

发表于 2006-09-30 13:39 |只看该作者 |倒序浏览

一个客户的网站down了,只是apache不能正常使用其他的都是OK的.用SSH进去看一下TCP栈,发现TCP栈的情形如下.CPU和内存都不过载.从下面信息能看出是不是给DOS攻击呢?为什么标识了 CLOSE_WAIT 的IP一直占着TCP栈不放呢.请高手们指点一下.如果我把apache重启一下,就好了..有什么解决方法吗?Thanks!!!!!!!!!!\r\n\r\n\r\n\r\ntcp 1 0 10.20.0.165:80 24.163.54.147:40935 CLOSE_WAIT 802/httpd \r\ntcp 0 0 10.20.0.165:80 70.160.230.163:3084 TIME_WAIT - \r\ntcp 1 0 10.20.0.165:80 24.163.54.147:40936 CLOSE_WAIT 440/httpd \r\ntcp 1 36233 10.20.0.165:80 156.153.255.202:57213 LAST_ACK - \r\ntcp 1 0 10.20.0.165:80 141.154.140.73:2714 CLOSE_WAIT 3701/httpd \r\ntcp 1 0 10.20.0.165:80 141.154.140.73:2716 CLOSE_WAIT 3702/httpd \r\ntcp 0 0 10.20.0.165:80 24.49.127.150:39925 TIME_WAIT - \r\ntcp 1 0 10.20.0.165:80 63.193.251.82:1688 CLOSE_WAIT 5174/httpd \r\ntcp 1 0 10.20.0.165:80 70.38.91.182:1430 CLOSE_WAIT 2237/httpd \r\ntcp 1 0 10.20.0.165:80 70.38.91.182:1431 CLOSE_WAIT 31661/httpd \r\ntcp 1 0 10.20.0.165:80 24.163.54.147:41029 CLOSE_WAIT 31716/httpd \r\ntcp 1 0 10.20.0.165:80 24.163.54.147:41028 CLOSE_WAIT 419/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3846 CLOSE_WAIT 3711/httpd \r\ntcp 0 0 10.20.0.165:80 72.231.135.55:3641 CLOSE_WAIT 2072/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3643 CLOSE_WAIT 3414/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3645 CLOSE_WAIT 3334/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3647 CLOSE_WAIT 3337/httpd \r\ntcp 1 0 10.20.0.165:80 65.32.211.175:50113 CLOSE_WAIT 2115/httpd \r\ntcp 1 0 10.20.0.165:80 65.32.211.175:50112 CLOSE_WAIT 2083/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3639 CLOSE_WAIT 3288/httpd \r\ntcp 1 0 10.20.0.165:80 65.32.211.175:50109 CLOSE_WAIT 2240/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3657 CLOSE_WAIT 3652/httpd \r\ntcp 1 0 10.20.0.165:80 65.32.211.175:50108 CLOSE_WAIT 31724/httpd \r\ntcp 1 0 10.20.0.165:80 65.32.211.175:50111 CLOSE_WAIT 1807/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3659 CLOSE_WAIT 3685/httpd \r\ntcp 1 0 10.20.0.165:80 65.32.211.175:50110 CLOSE_WAIT 2092/httpd \r\ntcp 1 0 10.20.0.165:80 69.142.23.79:1484 CLOSE_WAIT 473/httpd \r\ntcp 1 0 10.20.0.165:80 69.142.23.79:1485 CLOSE_WAIT 448/httpd \r\ntcp 1 0 10.20.0.165:80 69.142.23.79:1486 CLOSE_WAIT 3286/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3649 CLOSE_WAIT 3643/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3651 CLOSE_WAIT 2732/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3653 CLOSE_WAIT 32115/httpd \r\ntcp 1 0 10.20.0.165:80 69.142.23.79:1478 CLOSE_WAIT 1301/httpd \r\ntcp 1 0 10.20.0.165:80 72.231.135.55:3655 CLOSE_WAIT 3386/httpd \r\ntcp 1 0 10.20.0.165:80 69.142.23.79:1479 CLOSE_WAIT 3272/httpd \r\ntcp 1 0 10.20.0.165:80 71.35.198.74:3151 CLOSE_WAIT 31727/httpd \r\ntcp 1 0 10.20.0.165:80 24.206.228.104:60888 CLOSE_WAIT 2239/httpd \r\ntcp 1 0 10.20.0.165:80 24.206.228.104:60889 CLOSE_WAIT 3696/httpd \r\ntcp 1 0 10.20.0.165:80 24.206.228.104:60891 CLOSE_WAIT 3716/httpd \r\ntcp 1 0 10.20.0.165:80 207.69.249.210:1501 CLOSE_WAIT 31715/httpd \r\ntcp 1 0 10.20.0.165:80 24.147.164.135:1083 CLOSE_WAIT 4585/httpd \r\ntcp 0 0 10.20.0.165:80 221.217.143.104:43524 TIME_WAIT - \r\ntcp 0 0 10.20.0.165:80 221.217.143.104:43517 TIME_WAIT - \r\ntcp 0 0 10.20.0.165:80 66.249.66.5:64106 TIME_WAIT - \r\ntcp 1 0 10.20.0.165:80 67.169.185.162:10185 CLOSE_WAIT 31728/httpd \r\ntcp 1 0 10.20.0.165:80 66.249.66.5:43068 CLOSE_WAIT 4528/httpd \r\ntcp 1 0 10.20.0.165:80 66.48.160.55:1281 CLOSE_WAIT 3779/httpd \r\ntcp 1 0 10.20.0.165:80 24.31.100.202:60694 CLOSE_WAIT 5336/httpd \r\ntcp 0 0 10.20.0.165:80 67.161.118.172:62717 TIME_WAIT - \r\ntcp 1 0 10.20.0.165:80 74.107.117.155:60784 CLOSE_WAIT 1102/httpd \r\ntcp 1 0 10.20.0.165:80 74.107.117.155:60537 CLOSE_WAIT 32257/httpd \r\ntcp 1 0 10.20.0.165:80 74.107.117.155:60538 CLOSE_WAIT 32260/httpd \r\ntcp 1 0 10.20.0.165:80 74.107.117.155:60539 CLOSE_WAIT 31714/httpd \r\ntcp 0 7392 10.20.0.165:22 221.232.118.244:3925 ESTABLISHED 5766/sshd: dlnx1027 \r\ntcp 1 0 10.20.0.165:80 204.108.96.18:40337 CLOSE_WAIT 3782/httpd \r\ntcp 1 0 10.20.0.165:80 64.43.10.20:56766 CLOSE_WAIT 4604/httpd \r\ntcp 1 0 10.20.0.165:80 74.107.117.155:60612 CLOSE_WAIT 31733/httpd \r\ntcp 1 0 10.20.0.165:80 74.107.117.155:60613 CLOSE_WAIT 32134/httpd \r\ntcp 1 0 10.20.0.165:80 74.107.117.155:60611 CLOSE_WAIT 31444/httpd\n\n[ 本帖最后由 jacky_hui888 于 2006-10-12 15:42 编辑 ]

论坛徽章:: 0

2楼 [报告]

发表于 2006-09-30 20:00 |只看该作者

哎。看来跟你有缘分，帮你顶！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

3楼 [报告]

发表于 2006-10-04 10:04 |只看该作者

金盾专业抗DDOS防火墙

朋友.看看我门金盾专业抗DDOS防火墙把.在国内好多IDC和各地区电信,网通机房都在用.\r\n我门有软件也有硬件.用专业的技术为您彻底解决DDOS攻击.这是我门的网站www.zxfirewall.com\r\n 联系QQ:343773014

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

4楼 [报告]

发表于 2006-10-05 10:59 |只看该作者

检查一下10.20.0.165这台机器在做什么?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

5楼 [报告]

发表于 2006-10-05 13:46 |只看该作者

ulimit 太小，建议增加一下 file descriptor 的最大值。\r\n\r\n详见你所使用的 shell 的文档。比如 ksh，-> man ksh，找到 \"ulimit\"

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

6楼 [报告]

发表于 2006-10-11 15:36 |只看该作者

IP:10.20.0.165 是本机的网卡IP.通过防火墙的NAT出Internet.\r\n\r\nlangue 兄说的:\r\nulimit 太小，建议增加一下 file descriptor 的最大值\r\n主要起什么作用呢?可否说清楚些.\r\n\r\n大家还有什么见解吗.说说看看.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

7楼 [报告]

发表于 2006-10-11 17:22 |只看该作者

看看有没有启动\r\nAllowOverride指令了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

8楼 [报告]

发表于 2006-10-11 17:37 |只看该作者

echo 1800 >/proc/sys/net/ipv4/tcp_keepalive_time

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

9楼 [报告]

发表于 2006-10-11 19:09 |只看该作者

原帖由 jacky_hui888 于 2006-10-11 15:36 发表\r\nIP:10.20.0.165 是本机的网卡IP.通过防火墙的NAT出Internet.\r\n\r\nlangue 兄说的:\r\nulimit 太小，建议增加一下 file descriptor 的最大值\r\n主要起什么作用呢?可否说清楚些.\r\n\r\n大家还有什么见解吗.说说看看.

\r\n\r\n出现 too many open files 错误，表明打开的文件数目超过了允许的上限，可以用增加上限来解决。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

发新帖

Chinaunix › 论坛 › 备份版区 › 攻防交流区 › 一个客户的网站down了.是受到攻击吗?请高手们提些意见.! ...

北京盛拓优讯信息技术有限公司. 版权所有京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号：11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员联系我们：huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP