Tham gia Đăng nhập
Điểm:0
Yohanim avatar Server

Apache Centos ngừng hoạt động đột ngột trong máy chủ sản xuất

lá cờ it
Yohanim

Tôi có máy chủ Apache/HTTPD tại GCP (VM Instance) với phiên bản

Phiên bản máy chủ: Apache/2.4.6 (CentOS)
Máy chủ được xây dựng: 16/11/2020 16:18:20

Vì tôi là một nhà phát triển, tôi không tiến bộ với cấu hình máy chủ. Vì vậy, tôi gặp sự cố, Máy chủ sản xuất của chúng tôi đã 2 lần tắt Apache/HTTPD đột ngột.Tôi không chắc chuyện gì đã xảy ra. Sau khi đọc một số bài báo trên internet (đồng thời khai thác thông tin trên SO và Google), tôi thu thập tất cả các vấn đề về nhật ký có thể xảy ra và kết luận có thể máy chủ của chúng tôi đã bị tấn công DDOS. Nhưng tôi vẫn không chắc chắn. Tôi thực sự cần sự giúp đỡ của các bạn để tìm ra điều gì đã xảy ra trong máy chủ của chúng tôi.

Dịch vụ httpd ngừng hoạt động vào 03:16 sáng và tôi đang cố gắng khởi động lại lúc 07:10 sáng. Đây là một số nhật ký. (nếu bạn cần thêm nhật ký, đừng ngần ngại cho tôi biết)

ssl_request_log

[12/Oct/2021:03:18:11 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "POST /public/api/mobile/.../... HTTP/1.1" 1097
[12/Oct/2021:03:18:11 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "POST /public/api/mobile/.../... HTTP/1.1" 277
[12/Oct/2021:03:18:11 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "POST /public/api/mobile/.../... HTTP/1.1" 277
[12/Oct/2021:03:18:27 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "POST /public/api/mobile/.../... HTTP/1.1" 467
[12/Oct/2021:07:48:04 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "GET / HTTP/1.1" 2513
[12/Oct/2021:07:48:07 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "NHẬN /favicon.ico HTTP/1.1" -
[12/Oct/2021:08:04:47 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "GET / HTTP/1.1" 2513
[12/Oct/2021:08:04:48 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "NHẬN /favicon.ico HTTP/1.1" -

ssl_access_log

114.122.15.78 - - [12/Oct/2021:03:18:10 +0700] "GET /public/api/mobile/.../... HTTP/1.1" 200 112
114.122.15.78 - - [12/Oct/2021:03:18:11 +0700] "POST /public/api/mobile/.../... HTTP/1.1" 200 1097
114.122.15.78 - - [12/Oct/2021:03:18:11 +0700] "POST /public/api/mobile/.../... HTTP/1.1" 200 277
114.122.15.78 - - [12/Oct/2021:03:18:11 +0700] "POST /public/api/mobile/.../... HTTP/1.1" 200 277
114.122.15.78 - - [12/Oct/2021:03:18:27 +0700] "POST /public/api/mobile/..../... HTTP/1.1" 200 467
182.1.65.179 - - [12/Oct/2021:07:48:04 +0700] "NHẬN / HTTP/1.1" 200 2513
182.1.65.179 - - [12/Oct/2021:07:48:07 +0700] "NHẬN /favicon.ico HTTP/1.1" 200 -
182.1.65.179 - - [12/Oct/2021:08:04:47 +0700] "NHẬN / HTTP/1.1" 200 2513
182.1.65.179 - - [12/Oct/2021:08:04:48 +0700] "NHẬN /favicon.ico HTTP/1.1" 200 -

tin nhắn

Ngày 12 tháng 10 03:20:01 xxx-server-1 systemd: Đã bắt đầu Phiên 211514 của người dùng apache.
Ngày 12 tháng 10 03:21:01 xxx-server-1 systemd: Đã bắt đầu Phiên 211515 của người dùng apache.
Ngày 12 tháng 10 03:22:01 xxx-server-1 systemd: Đã bắt đầu Phiên 211516 của người dùng apache.
Ngày 12 tháng 10 03:23:01 xxx-server-1 systemd: Đã bắt đầu Phiên 211517 của người dùng apache.
Ngày 12 tháng 10 07:09:31 kernel xxx-server-1: Đang khởi tạo cpuset cgroup subsys
Ngày 12 tháng 10 07:09:31 kernel xxx-server-1: Đang khởi tạo cpu cgroup subsys
Ngày 12 tháng 10 07:09:31 kernel xxx-server-1: Đang khởi tạo cpuacct subsys cgroup
Ngày 12 tháng 10 07:09:31 kernel xxx-server-1: Phiên bản Linux 3.10.0-1127.19.1.el7.x86_64 ([email protected]) (phiên bản gcc 4.8.5 20150623 (Red Hat 4.8.1) 5-39) (GCC) ) #1 SMP Thứ ba ngày 25 tháng 8 17:23:54 UTC 2020

truy cập_log

::1 - - [12/Oct/2021:02:12:16 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
186.33.94.58 - - [12/Oct/2021:02:15:16 +0700] "GET / HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Tắc kè) Chrome/52.0.2743.116 Safari/537.36"
78.128.112.14 - - [12/Oct/2021:02:17:15 +0700] "\x03" 400 226 "-" "-"
::1 - - [12/Oct/2021:02:21:11 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:22:27 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:25:30 +0700] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:25:31 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:25:32 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:25:33 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:25:37 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:25:38 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:25:41 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:26:01 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:30:51 +0700] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:30:52 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:30:53 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:32:50 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:43:28 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:43:29 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:43:30 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:43:54 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:52:35 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:52:36 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:53:11 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:54:25 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:55:43 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:55:44 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:56:09 +0700] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:02:59:49 +0700] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:03:00:33 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:03:00:34 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:03:00:42 +0700] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:03:04:46 +0700] "TÙY CHỌN * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
::1 - - [12/Oct/2021:03:16:20 +0700] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (kết nối giả bên trong)"
182.1.93.51 - - [12/Oct/2021:07:10:49 +0700] "GET / HTTP/1.1" 301 234 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, như Gecko ) Chrome/93.0.4577.63 Safari/537.36"
31.150.61.16 - - [12/Oct/2021:07:10:52 +0700] "GET / HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Tắc kè) Chrome/51.0.2704.103 Safari/537.36"

và những gì tôi nghĩ rằng tôi đã bị tấn công DDOS là do tôi truy cập_log hiển thị một số URL nước ngoài (sửa tôi nếu tôi sai). đây là một số mẫu

112.78.156.175 - - [12/Oct/2021:08:10:50 +0700] "NHẬN /id/sains/teori-gravitasi-bertentangan-dengan-hukum-kekekalan-energi HTTP/1.1" 301 301 "https:/ /www.bing.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, như Gecko) Chrome/94.0.4606.71 Safari/537.36 Edg/94.0.992.38"
::1 - - [12/Oct/2021:08:10:59 +0700] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.24 (kết nối giả bên trong)"
182.1.65.179 - - [12/Oct/2021:08:11:05 +0700] "GET / HTTP/1.1" 301 234 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, như Gecko ) Chrome/93.0.4577.63 Safari/537.36"
132.145.247.182 - - [12/Oct/2021:08:11:20 +0700] "GET /id/ HTTP/1.0" 301 237 "http://www.rustamaji.net/id/" "Mozilla/5.0 ( Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, như Gecko) Chrome/83.0.4103.61 Safari/537.36"

error_log (tôi không nhận được gì ở eror_log)

[Thứ Hai ngày 11 tháng 10 23:47:59.036428 năm 2021] [core:error] [pid 23856] [client 45.146.164.110:48008] AH00126: URI không hợp lệ trong yêu cầu POST /cgi-bin/.%2e/.%2e/.% 2e/.%2e/bin/sh HTTP/1.1
[Thứ Ba ngày 12 tháng 10 07:09:41.719194 2021] [suexec:notice] [pid 865] AH01232: đã bật cơ chế suEXEC (trình bao bọc: /usr/sbin/suexec)

Câu hỏi của tôi là điều gì khiến Máy chủ Apache của tôi bị tắt đột ngột? Và làm cách nào để ngăn chặn nó trên môi trường GCP? Tôi nghe nói rằng áo giáp đám mây có thể giúp chống lại cuộc tấn công DDOS (nhưng vì tôi không chắc nguyên nhân gây ra sự cố)

Hãy giúp tôi. Cảm ơn trước. Tôi thực sự đánh giá cao sự giúp đỡ của bạn.

80
0 + 0
php
xu
Yohanim avatar
lá cờ it
Yohanim
xin vui lòng nếu ai đó cần biết thêm chi tiết chỉ cần hỏi tôi. Tôi thực sự cần sự giúp đỡ của bạn. Tôi đã cố gắng mà không có may mắn
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.