うああ…初 DoS 攻撃喰らった

本記事は最終更新日より 1 年以上経過しております。
スポンサーリンク

なんかアレコレ弄っていたら、滅多にファン回転数が上がらないサーバー機から
ウイーンてファンの回る音がした。

何事だ!!
と、丁度ターミナル開いていたので top コマンド叩く。
httpd と mysqld のプロセスがガッツン CPU 喰ってる。

netstat -alt と次に打ち込んで接続しているホストを確認したら
もうズガンっと来ていた。

tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:64762  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:51739  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:55067  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:64601  TIME_WAIT
tcp        0   5466 hoge.bp7.org:http        ::ffff:208.99.195.54:54974  ESTABLISHED
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:64668  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:55836  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:63804  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:50547  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:65200  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:51760  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:62122  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:50794  ESTABLISHED
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:62475  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:59342  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:50030  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:63757  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:53101  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:62754  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:50592  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:55936  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:62593  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:59681  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:59489  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:63238  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:53191  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:63495  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:50759  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:60548  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:60068  TIME_WAIT
tcp        0      0 hoge.bp7.org:http        ::ffff:208.99.195.54:64965  TIME_WAIT

で、アクセスログも追ってみたら短時間に 385 レコードのログが orz

犯人は 208.99.195.54 の IP アドレスをもったこんぴうたぁー。
ぐぐったら「この IP から DoS 攻撃喰らった」なんて文もでてきたりしたものでー
これ対策取っておくことに。

# iptables -A INPUT -s  208.99.192.0/19 -j REJECT

これで FireWall リスタートかけてやったけど、その瞬間から既に引っかかっていてワロタ。
今現在でこんな状態…

# iptables-save -c | fgrep '208.99.192.0'
[979:58740] -A INPUT -s 208.99.192.0/255.255.224.0 -j REJECT --reject-with icmp-port-unreachable

これマジ危ないよ…。

スポンサーリンク