Ubuntu10.04LTS服务器受到攻击，随机重启直到我阻止中国

Question

有什么可以发送到我的服务器，使它重新启动？

详细信息：

我有一个用于内部使用的LAMP服务器运行Ubuntu10.04LTS(升级计划是针对“当我有时间”时进行的)。它运行多个内部脚本和监视器，是我首选的远程进入办公室的网关。在过去的几个月里，ssh和web攻击的尝试一直在以惊人的速度增长，两周前服务器开始重新启动，没有任何明显的原因。一开始是一夜，然后是每晚，直到它最终升级到每隔几个小时。

我查看了所有的系统日志，这些日志只显示启动消息，然后显示正常运行的消息，然后再次显示启动消息。我运行了memtest和驱动测试以及CPU测试，这些测试结果都是干净的。所以我把注意力转向了不速之客。

我想:没有合法的理由让任何国家以外的人连接这台电脑。

因此，我开始从日志中获取一个明显的巨魔的IP地址，使用whois拉出他们的主机公司，并禁止该主机公司的整个范围：

iptables -I INPUT -s 1.180.0.0/14 -j DROP

但这似乎很慢，所以我开始寻找一个更好的名单。查看时，服务器再次重新启动。我很快就发现了这一点：http://nebulous.frikafrax.com/2013/323/chinanet-spam并花了几分钟时间拼凑一个Perl脚本，将整个范围转储到iptables中。

不再随机重新启动服务器。

已经有3天没有重新启动了。现在我的序言结束了，问题是：

有什么可以发送到我的服务器，使它重新启动？更多的证据表明，原因不是硬件，而是攻击效果，可能是故意的，也可能是意外的副作用，但我想了解更多关于这次攻击的信息，以及在未来检测和预防攻击的方法。

欢迎任何想法或具体经验。

Answer 1

我想知道更多关于这次袭击的信息。

你就是那个有日志的人，所以你需要自己做法医工作。这并不超出你的服务器被破坏了的可能性范围，所以在研究这个问题时要尽职尽责。如果您还没有运行资源监视器，那么至少要安装像munin或sysstat这样的程序，这样您就有了系统资源使用水平的记录。

以及在未来发现和预防它的方法。

将服务器置于VPN之后。问题解决了。如果这不是一个选项，您应该确保禁用密码auth (使用key auth)，并考虑在非标准端口上运行sshd。使用非标准端口根本不会增加您的安全性，但肯定会减少日志中的许多噪音以及系统负载，因为必须处理所有的身份验证尝试。