Ко мне поступил сервер с Linux CentOS 5.3 64bit, выполняющий роль коммерческого хостинга сайтов (WHM/cPanel), который был взломан и взломщики не потрудились вытереть за собой все инструменты, которые они использовали.
Проанализировав их, я смог составить цепочку событий, которая привела к взлому сервера и компрометации рутовой учетной записи.

Эта статья поможет защитить сервер от DDOS атак вида HTTP flood, узнать на какой из сайтов идет DDOS атака, научить как отключать атакуемый сайт и защищать свой сайт на сервере или vps.

HTTP flood – наиболее типичный вид DDOS атаки, когда атакуемый веб-сервер переполняется запросами к главной странице. Симптомы атаки – записи о невозможности открыть новые соединения в логе веб-сервера, очень быстрый рост логов посещений с одинаковыми запросами. Число одновременных запросов к веб-серверу может быть получено в Linux при помощи команды netstat -plan | grep :80 | grep -c tcp. Обычное состояние для среднего сервера – до 200-400 запросов. В случае HTTP flood – более тысячи.