VPS安全措施请教

Seanhere

VPS安装了DDoS deflate
最近经常出现这样的情况

Banned the following ip addresses on Sun Dec 22 18:10:01 UTC 2013

216.99.147.238 with 178 connections

先说我的
1. 禁止密码登陆，使用private keys登陆
2. 修改SSH登陆22为一个5位数端口
3. 关闭除 3306（mysql）, 80 (web) 88,  ssh 端口之外的其它所有端口
4. 安装DDoS deflate软件

使用VPS的高手在服务器安全方面都有哪些措施啊。

月光飞燕

真没必要，以我多年用的经验，搞那么多限制，难受的是自己
除非你有很知名的网站，否则就不要折腾了
DDOS这种，偶尔才有的情况，你搞那些都没用，ddos来了，防不住的
DDOS来了最好的方式是直接封闭ip（短时间永久封闭）
DDoS deflate是无效的，举个例子，一个时间段封闭后，一旦接触，瞬间你的服务器就会被大量ip堵死，DDoS deflate用处不大，你可以看国外的很多review


你上面说的4点，都是没必要的，除非你有很知名的网站，靠seo的站就不要去搞了
VPS本身是比较安全的


下面是DDOS最有效的方式，在不必购买高价硬件防火墙的基础上

服务器受到攻击后，先找频繁访问ip

1. netstat -nat|grep -i '80'|wc -l
   
2. 
   
3. netstat -ntu | awk '{print $$5}' | cut -d: -f1 | sort | uniq -c | sort -n
   
4. 
   
5. netstat -nat |awk '{print $$6}'|sort|uniq -c|sort -rn
   
6. 
   
7. tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F'.' '{print $$1'.'$$2'.'$$3'.'$$4}' | sort | uniq -c | sort -nr |head -n20
   
8. 
   
9. netstat -n|grep TIME_WAIT|awk '{print $$5}'|sort|uniq -c|sort -rn|head -n20
   
10. 
    
11. netstat -an | grep SYN | awk '{print $$5}' | awk -F: '{print $$1}' | sort | uniq -c | sort -nr | more
    
12. 
    
13. 1、80端口连接数
    
14. 2、每个IP的连接数
    
15. 3、每种连接状态的数量
    
16. 4、嗅探80端口的1000个数据包
    
17. 5、每个IP的TIME_WAIT连接状态的数量
    
18. 6、每个SYN连接的数量（如果很多则为SYNFLOOD）
    

复制代码

然后屏蔽连接数较多的ip（永久封闭）

1. #屏蔽单个IP的命令是
   
2. iptables -I INPUT -s 123.45.6.7 -j DROP
   
3. #封整个段即从123.0.0.1到123.255.255.254的命令
   
4. iptables -I INPUT -s 123.0.0.0/8 -j DROP
   
5. #封IP段即从123.45.0.1到123.45.255.254的命令
   
6. iptables -I INPUT -s 124.45.0.0/16 -j DROP
   
7. #封IP段即从123.45.6.1到123.45.6.254的命令是
   
8. iptables -I INPUT -s 123.45.6.0/24 -j DROP
   

复制代码

一个月后，ddos一般都会停止，然后全部开放

1. 清除已有iptables规则
   
2. iptables -F
   
3. iptables -X
   
4. iptables -Z

复制代码

dongdong1980

好贴，收藏备用                  

dongdong1980

web目录的权限很重要，千万不要都是777

非常小黑

哈哈，月亮姐姐说的对，如果你是大站，找个网络安全的人帮你搞。
如果是垃圾小站，反正几十几百个，1年轮不到1次

晕蛋疯亲

一般被DD都是大词在首页前三了，有人眼红了，还会发邮件威胁之类的，别搭理他，有钱买硬防，对拼钱 - -

Seanhere

月光飞燕 发表于 2013-12-23 23:05

                               
登录/注册后可看大图

真没必要，以我多年用的经验，搞那么多限制，难受的是自己
除非你有很知名的网站，否则就不要折腾了
DDOS这 ...

哦，曾经亲眼见过熟人的一个虚拟主机上的小站被别人恶作剧轻而易举地在修改了主页内容；
还有一个VPS也因被别人植入了一个钓鱼文件而被主机商无条件收回，网站内容都要不回来。所以自那以后自己的VPS都使用设置这些安全措施

熟能生巧哇

做站就是这样 要懂的东西很多，还要了解点网络攻防。。。。。

jiaruseng

windows 的VPS呢?  我的VPS老是有多余用户ID在那不停地登录又登录
任务管理器里经常有几个winlogin.exe之类的东西一会有一会没的
找了好久也没找到办法