Tìm và hạn chế các PHP scripts UDP flood tấn công trên máy chủ ảo linux
Khi quản trị vps linux mà bạn cảm thấy có bất cứ dấu hiệu truy cập bất thường nào thì bạn cần tìm và hạn chế ngay, tránh bị tấn công, ảnh hưởng đến hệ thống web, mail, dịch vụ đang hoạt động trên đó
Tìm và hạn chế các PHP scripts UDP flood tấn công trên máy chủ ảo linux
PHP quả là mạnh mẽ với những ứng dụng từ khai thác đến “triệt hạ” hệ thống. Với server có thể chạy PHP, chỉ cần 1 scripts thôi cũng đủ làm cho nó tự bị flood giống như bị tấn công flood từ bên ngoài vậy, đó là do PHP có khả năng sử dụng các hàm tạo các socket, chuyển nó thành gói tin và khi đưa vào vòng lặp while vô hạn nó sẽ thành nguồn bắn các UDP packet tới server nạn nhân. Một điều hài hước ở đây là có khi việc tạo luồng UDP đó không làm server đối thủ die (do nó có băng thông lớn) mà chính server chạy PHP scipts đó sẽ bị flood những gói tin do chính nó tạo ra.
Các server hosting, vps hosting là nơi dễ để khai thác nhất, vì thế khi có dấu hiệu mạng chạp chờn, admin cần check process để xác định user/domain nào đang có mức hoạt động cao và từ đó tìm scripts bằng lệnh sau:
grep -ir ‘fsockopen.*udp’ /home/
Mặt khác, để hạn chế ảnh hưởng của kiểu tấn công cục bộ này, ta cần limit UDP packet outbond bằng iptables như sau hoặc deny luôn các UPD packet out, chỉ để duy nhất outbond cho port 53 của DNS
# Outbound UDP Flood protection
iptables -N udp-flood
iptables -A OUTPUT -p udp -j udp-flood
iptables -A udp-flood -p udp -m limit –limit 20/s -j RETURN
iptables -A udp-flood -j LOG –log-level 4 –log-prefix ‘UDP-flood attempt: ‘
iptables -A udp-flood -j DROP
Hy vọng với những chia sẻ trên có thể giúp các bạn admin vps linux có thể tự biết cách tìm và hạn chế các kiểu tấn công như thế này. Nếu bạn đang thuê máy chủ ảo tại VDO thì không cần phải lo đến các vấn đề tấn công này vì chúng tôi đã có đội nghĩ kĩ thuật hỗ trợ 24/24, hệ thống bảo mật chuyên nghiệp