轉機!高手就在身邊

有人突然想到,前些日子主管招聘了一位全方位(Full-Stack)資安工程師,負責公司所有網路安全,大家跟他都不熟,反正死馬當活馬醫,或許他可以幫幫忙吧,趕緊找John吧。

John是一位省話一哥,平時只在電腦前快速的打字,偶爾出去抽根煙,沒什麼特別的;John收到了第一線資訊人員的回報後,眉頭皺了一下,眼睛快速轉動了幾次,深深地抽了一口煙,判斷出這樣的現象,極有可能是阻斷式攻擊(DoS, Denial of Services),不急不緩地利用console登入伺服器,執行了幾個指令:

  1. uptime #顯示過去五分鐘平均負載為277.89
  2. ps -ef # 簡單列出系統正在執行的程式
  3. netstat -tna # 列出TCP的連線
  4. grep '185.130.5.209' /var/log/apache2/access.log | tail #清查該IP對網頁伺服器的行為
  5. traceroute --resolv 185.130.5.209
  6. ifconfig eth0 down
  7. iptables -i eth0 -p tcp --dport 80 -s 185.99.1.195 -j DROP
  8. ifconfig eth0 up

回頭對資訊人員說道:“這攻擊來自於多明尼加,IP位址在網路的黑名單中,主要是針對PHP語言中RPC弱點的Brute Force Amplification型式攻擊,不必擔心,這樣的攻擊會持續重複使用大量伺服器的記憶體,超出了記憶體的總容量,因此伺服器對於外部要求的服務變得很慢,產生time out的現象”,接著說,“我暫時使用防火牆指令阻擋了攻擊,平均伺服器負載量uptime已降至2.0以下,沒有問題了,爾後會使用進階的內容防火牆(Content Firewall)方式有效阻擋來自於任何地方的類似攻擊,另外,我會寫一隻Python或PERL程式,使用Cron或是Daemon的方式,看你們熟哪一個,自動偵測類似攻擊並即時阻擋,以免過年還要到公司”。

這時總經理剛好開門問:“問題解決了嗎?”,大家異口同聲說:“John解決了”,總經理說了一聲:“新年快樂,好好休息!”便笑笑地走了。

想要解決更多問題!