VPS安全措施請教

VPS安裝了DDoS deflate
* ?) e$ M8 u2 l' i最近經常出現這樣的情況
% B" s% ^; i- B4 X
Banned the following ip addresses on Sun Dec 22 18:10:01 UTC 2013

' z( P: c- R5 U( o  S216.99.147.238 with 178 connections

先說我的
) J2 l  |- Y+ W- h1. 禁止密碼登陸，使用private keys登陸
0 R/ U" N0 n8 D* U% G2. 修改SSH登陸22為一個5位數端口
3. 關閉除 3306（mysql）, 80 (web) 88,  ssh 端口之外的其它所有端口
4. 安裝DDoS deflate軟件
' V8 E# c* n' x$ D% Q- i! F! G2 u
使用VPS的高手在服務器安全方面都有哪些措施啊。
& d6 S2 w) A) P1 `" w  N
& ]- x; J* _( y  u. a
, J5 F5 R6 [5 Z+ t. j; e' w- [

真沒必要，以我多年用的經驗，搞那麼多限制，難受的是自己
& H: x' \8 G' _除非你有很知名的網站，否則就不要折騰了
DDOS這種，偶爾才有的情況，你搞那些都沒用，ddos來了，防不住的
DDOS來了最好的方式是直接封閉ip（短時間永久封閉）
* u  E7 @* D, `0 i0 cDDoS deflate是無效的，舉個例子，一個時間段封閉後，一旦接觸，瞬間你的服務器就會被大量ip堵死，DDoS deflate用處不大，你可以看國外的很多review

# }7 g! B- H  m$ w
! o& q4 z# S/ }3 I% B9 i你上面說的4點，都是沒必要的，除非你有很知名的網站，靠seo的站就不要去搞了
# {+ G6 Q! j$ {, w( jVPS本身是比較安全的

  K; ]2 ~% L  o
) h1 |3 R# a8 a# w: b下面是DDOS最有效的方式，在不必購買高價硬件防火牆的基礎上

2 n8 C4 c9 ~5 j0 H8 J服務器受到攻擊後，先找頻繁訪問ip

1. netstat -nat|grep -i '80'|wc -l
   
2. 
   
3. netstat -ntu | awk '{print $$5}' | cut -d: -f1 | sort | uniq -c | sort -n
   ; g4 q! A2 ]0 \6 O7 P
4. 
   , X9 v' i3 w! m
5. netstat -nat |awk '{print $$6}'|sort|uniq -c|sort -rn
   
6. 
   & H! D6 j' r& u) A! h
7. tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F'.' '{print $$1'.'$$2'.'$$3'.'$$4}' | sort | uniq -c | sort -nr |head -n20
   
8. 
   
9. netstat -n|grep TIME_WAIT|awk '{print $$5}'|sort|uniq -c|sort -rn|head -n20
   
10. 
    $ h4 m: b. e5 X; M/ C- H9 o
11. netstat -an | grep SYN | awk '{print $$5}' | awk -F: '{print $$1}' | sort | uniq -c | sort -nr | more
    9 j& c- q. B3 s4 Y7 m
12. 
    ; V# M+ y9 d! H5 J4 g7 _$ d
13. 1、80端口連接數
    . N4 t1 c4 A8 h' w( R# o+ }' i
14. 2、每個IP的連接數
    
15. 3、每種連接狀態的數量
    
16. 4、嗅探80端口的1000個數據包
    & f% t* A* G+ M' Y+ I: j
17. 5、每個IP的TIME_WAIT連接狀態的數量
    
18. 6、每個SYN連接的數量（如果很多則為SYNFLOOD）
    

複製代碼

然後屏蔽連接數較多的ip（永久封閉）

1. #屏蔽單個IP的命令是
   
2. iptables -I INPUT -s 123.45.6.7 -j DROP
   ) k/ x1 K, ~' h2 T% }/ u; `
3. #封整個段即從123.0.0.1到123.255.255.254的命令
   
4. iptables -I INPUT -s 123.0.0.0/8 -j DROP
   
5. #封IP段即從123.45.0.1到123.45.255.254的命令
   ) `0 n0 H. K9 q, w
6. iptables -I INPUT -s 124.45.0.0/16 -j DROP
   5 M, u" z1 }& X: g# F! e" e% g
7. #封IP段即從123.45.6.1到123.45.6.254的命令是
   
8. iptables -I INPUT -s 123.45.6.0/24 -j DROP
   

複製代碼

一個月後，ddos一般都會停止，然後全部開放

1. 清除已有iptables規則
   & k5 z# ?& |5 a$ Q7 e- u  S/ l
2. iptables -F
   
3. iptables -X
   
4. iptables -Z

複製代碼

' R5 t0 N  R$ c% W5 ~) p

好貼，收藏備用                  
& d- C4 x( K* e

web目錄的權限很重要，千萬不要都是777
/ B! x& X- _/ V  b0 H5 |, h

哈哈，月亮姐姐說的對，如果你是大站，找個網絡安全的人幫你搞。
如果是垃圾小站，反正幾十幾百個，1年輪不到1次
8 k' a4 V: V9 c# W

一般被DD都是大詞在首頁前三了，有人眼紅了，還會發郵件威脅之類的，別搭理他，有錢買硬防，對拼錢 - -

月光飛燕 發表於 2013-12-23 23:05
7 Z% L& \1 K3 _8 I0 m* O4 ?# x真沒必要，以我多年用的經驗，搞那麼多限制，難受的是自己
+ g8 L/ Q1 q6 n" v! y, B; o9 ?4 _除非你有很知名的網站，否則就不要折騰了
# p5 D* ^% R  x+ `; tDDOS這 ...

哦，曾經親眼見過熟人的一個虛擬主機上的小站被別人惡作劇輕而易舉地在修改了主頁內容；
0 C# ~( j) E. g# F4 s+ W. g還有一個VPS也因被別人植入了一個釣魚文件而被主機商無條件收回，網站內容都要不回來。所以自那以後自己的VPS都使用設置這些安全措施
# f. H' N4 i# P4 v4 n# g! ~( U

做站就是這樣 要懂的東西很多，還要瞭解點網絡攻防。。。。。
1 v5 [$ C' j" o3 \- b: V4 k4 J

windows 的VPS呢?  我的VPS老是有多餘用戶ID在那不停地登錄又登錄
  m, u+ l% B. R2 s任務管理器裡經常有幾個winlogin.exe之類的東西一會有一會沒的
找了好久也沒找到辦法