Php 攻击Max APache连接-我被黑客攻击了吗？

今天我的服务器上发生了一些非常奇怪的活动。我正在访问Max Apache连接，但找不到任何可能导致它的原因（我不认为我受到DOS攻击或其他任何东西）

我检查了我的Apache日志，发现了一些奇怪的东西

第一:

[Tue Aug 13 09:41:13 2013] [error] [client 85.76.3.157] --2013-08-13 09:41:13--  http://heatinasnap.net/gs.txt, referer: http://example.net/forum/index.php
[Tue Aug 13 09:41:13 2013] [error] [client 85.76.3.157] Resolving heatinasnap.net... 173.254.28.65, referer: http://example.net/forum/index.php
[Tue Aug 13 09:41:13 2013] [error] [client 85.76.3.157] Connecting to heatinasnap.net|173.254.28.65|:80... connected., referer: http://example.net/forum/index.php
[Tue Aug 13 09:41:13 2013] [error] [client 85.76.3.157] HTTP request sent, awaiting response... 404 Not Found, referer: http://example.net/forum/index.php
[Tue Aug 13 09:41:13 2013] [error] [client 85.76.3.157] 2013-08-13 09:41:13 ERROR 404: Not Found., referer: http://example.net/forum/index.php
[Tue Aug 13 09:41:13 2013] [error] [client 85.76.3.157] , referer: http://example.net/forum/index.php

[Tue Aug 13 09:41:31 2013] [error] [client 112.198.64.88] --2013-08-13 09:41:31--  http://heatinasnap.net/gs.txt, referer: http://example.net/members
[Tue Aug 13 09:41:31 2013] [error] [client 112.198.64.88] Resolving heatinasnap.net... 173.254.28.65, referer: http://example.net/members
[Tue Aug 13 09:41:31 2013] [error] [client 112.198.64.88] Connecting to heatinasnap.net|173.254.28.65|:80... connected., referer: http://example.net/members
[Tue Aug 13 09:41:31 2013] [error] [client 112.198.64.88] HTTP request sent, awaiting response... 404 Not Found, referer: http://example.net/members
[Tue Aug 13 09:41:31 2013] [error] [client 112.198.64.88] 2013-08-13 09:41:31 ERROR 404: Not Found., referer: http://example.net/members
[Tue Aug 13 09:41:31 2013] [error] [client 112.198.64.88] , referer: http://example.net/members

[Tue Aug 13 09:41:33 2013] [error] [client 141.138.54.172] --2013-08-13 09:41:33--  http://heatinasnap.net/gs.txt, referer: http://example.net/forum/viewtopic.php?f=9&t=6747
[Tue Aug 13 09:41:33 2013] [error] [client 141.138.54.172] Resolving heatinasnap.net... 173.254.28.65, referer: http://example.net/forum/viewtopic.php?f=9&t=6747
[Tue Aug 13 09:41:33 2013] [error] [client 141.138.54.172] Connecting to heatinasnap.net|173.254.28.65|:80... connected., referer: http://example.net/forum/viewtopic.php?f=9&t=6747
[Tue Aug 13 09:41:33 2013] [error] [client 141.138.54.172] HTTP request sent, awaiting response... 404 Not Found, referer: http://example.net/forum/viewtopic.php?f=9&t=6747
[Tue Aug 13 09:41:33 2013] [error] [client 141.138.54.172] 2013-08-13 09:41:33 ERROR 404: Not Found., referer: http://example.net/forum/viewtopic.php?f=9&t=6747
[Tue Aug 13 09:41:33 2013] [error] [client 141.138.54.172] , referer: http://example.net/forum/viewtopic.php?f=9&t=674

我不知道heatinasnap.net是什么（从没听说过）

第二，某种漏洞扫描程序：

[Tue Aug 13 09:41:40 2013] [error] [client 220.248.145.30] ModSecurity: Access denied with code 406 (phase 2). Match of "rx ^apache.*perl" against "REQUEST_HEADERS:User-Agent" required. [file "/usr/local/apache/conf/modsec2.user.conf"] [line "55"] [id "990011"] [msg "Request Indicates an automated program explored the site"] [severity "NOTICE"] [hostname "www.mysite.net"] [uri "/"] [unique_id "UgpFpK339QIAAFT1Y2MAAAAC"]
[Tue Aug 13 09:41:41 2013] [error] [client 220.248.145.30] ModSecurity: Access denied with code 406 (phase 2). Match of "rx ^apache.*perl" against "REQUEST_HEADERS:User-Agent" required. [file "/usr/local/apache/conf/modsec2.user.conf"] [line "55"] [id "990011"] [msg "Request Indicates an automated program explored the site"] [severity "NOTICE"] [hostname "mysite.net"] [uri "/406.shtml"] [unique_id "UgpFpa339QIAAGfpU5MAAAUD"]
[Tue Aug 13 09:41:41 2013] [error] [client 220.248.145.30] File does not exist: /home/hellohel/public_html/406.shtm

以下是我当前的apache状态：

CPU Usage: u147.51 s128.44 cu2247.28 cs0 - 146% CPU load
147 requests/sec - 2.3 MB/second - 16.4 kB/request
512 requests currently being processed, 0 idle workers

不过，我在Apache中没有看到任何MaxClient错误。肯定有一些奇怪的事情在发生……有人能提供一些见解吗

更新：

I am not sure if it was luck or not, but the slowloris thing just solved it for a few minutes. It went back to 512 (max) connections shortly after. I am seeing some very high CPU load on simple scripts so I am wondering if it has something to do with handling large log files. One is just a css file taking up `24.66 CPU`. Check out just a few processes:

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  VHost   Request
0-0 31154   0/45/45 R   23.85   3   1   0.0 0.47    0.47    ?   ?   ..reading..
0-0 31154   0/36/36 _   24.66   0   1   0.0 0.43    0.43    81.152.251.175  mysite.net  GET /css/dwn.css HTTP/1.1
0-0 31154   0/33/33 R   23.92   2   179 0.0 0.69    0.69    ?   ?   ..reading..
0-0 31154   0/1/1   W   0.07    119 0   0.0 0.00    0.00    117.102.163.190 mysite.net  POST /includes/offers/ajax.php HTTP/1.1
0-0 31154   1/64/64 C   24.74   0   1   26.8    1.85    1.85    24.127.122.188  mysite.net  GET /images/soc.png HTTP/1.1
0-0 31154   0/51/51 _   24.87   0   899 0.0 0.78    0.78    86.111.144.194  mysite.net  GET /includes/offers/window.php?file=57860&tooltip=true HTTP/1.
0-0 31154   0/18/18 R   11.00   77  1   0.0 0.27    0.27    ?   ?   ..reading..

apache攻击max客户端的原因是slowloris DOS攻击，apache

Mod_antioris

修复了该攻击。安装说明如下：

更新2:

I am not sure if it was luck or not, but the slowloris thing just solved it for a few minutes. It went back to 512 (max) connections shortly after. I am seeing some very high CPU load on simple scripts so I am wondering if it has something to do with handling large log files. One is just a css file taking up `24.66 CPU`. Check out just a few processes:

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  VHost   Request
0-0 31154   0/45/45 R   23.85   3   1   0.0 0.47    0.47    ?   ?   ..reading..
0-0 31154   0/36/36 _   24.66   0   1   0.0 0.43    0.43    81.152.251.175  mysite.net  GET /css/dwn.css HTTP/1.1
0-0 31154   0/33/33 R   23.92   2   179 0.0 0.69    0.69    ?   ?   ..reading..
0-0 31154   0/1/1   W   0.07    119 0   0.0 0.00    0.00    117.102.163.190 mysite.net  POST /includes/offers/ajax.php HTTP/1.1
0-0 31154   1/64/64 C   24.74   0   1   26.8    1.85    1.85    24.127.122.188  mysite.net  GET /images/soc.png HTTP/1.1
0-0 31154   0/51/51 _   24.87   0   899 0.0 0.78    0.78    86.111.144.194  mysite.net  GET /includes/offers/window.php?file=57860&tooltip=true HTTP/1.
0-0 31154   0/18/18 R   11.00   77  1   0.0 0.27    0.27    ?   ?   ..reading..

---

看起来您的站点正在打开远程文件，因为这些消息表明您的Apache服务器正在通过DNS执行查找

查找错误代码

你需要弄清楚他们用什么方法访问这个盒子。然后查看代码，并尝试找到一些不同寻常的东西。他们通常会使用

exec（）

和

base64\u decode（）

来隐藏代码，然后您可以

grep

来隐藏这些代码。还有

grep

用于

fopen（）

，

fread（）

，

file\u get\u contents（）

，甚至

curl\u init（）

。如果您在不期望的地方发现这些脚本，那么这就是您的漏洞

您应该能够使用诸如、

ntop

、

argus

、

bro-id

和

sancp

之类的工具在盒子上查找出站流量

尝试快速修复

进入

php.ini

文件，查看

allow\u url\u fopen

和

allow\u url\u include

。看起来好像有人试图让你的站点从他们的站点（有效负载所在的站点）打开txt文件

如果这些设置允许远程打开，那么这就是导致这种行为的原因。很可能有人从他们的服务器上打开了您服务器上的文件并导致了攻击

如果你的盒子上有代码，那么你需要清除盒子中的内容，并在

php.ini

文件修复后从备份中更新代码。否则，他们可以尝试使用诸如

ini\u set

之类的工具，使用已经托管的代码更改前端的设置

不更改代码或设置并从备份中恢复不会阻止该行为。此外，您可以使用类似于

IPtables

的功能来阻止对

heatinasnap.net

及其解析IP[173.254.28.65]的所有出站请求

如果您使用的是类似于

file\u get\u contents

的内容，则进行此更改将禁用它。另一方面，卷曲不会受到变化的影响。但是服务器上的任何代码仍然可以使用cURL（即使它不是您的）

DOS攻击更新

因为您认为这是DOS，所以可以尝试使用。好的设置是：

RequestReadTimeout header=10 body=30 

---

如果你在第一时间问这个问题会更好。他们将能够帮助您更好地RM，您是否已将其配置为代理？为什么您的Web服务器会从那个不熟悉的域请求内容？我没有将它设置为任何类型的代理。我想知道同样的事情…我的网站被破坏了吗？我正在查找源文件，但找不到该域的引用。好吧，至少我无法让您的个人资料中的网站表现得像代理。。。没有像curl thingamayigs这样的代码可以做这样的事情？@Wrikken-如果我的网站被破坏，它们可能在那里，但我没有找到它们。是否仍然可以使用Apache日志来确定错误来自哪些脚本？另外，你有没有什么建议，可以雇人来调查这类事情？谢谢你的帮助，谢谢

allow\u url\u fopen

已设置为On，但我找不到任何allow\u url\u include设置。关闭allow_url_fopen会禁用curl和file_get_contents（这些在我的网站上使用）等功能吗？另外，我现在不能重新上传所有内容，但是有没有一种方法可以扫描根工具包和恶意代码？你可以运行类似于Rootkit Hunter的东西。在一些存储库中，它被称为

rkhunter

。