Come rispondere all'attacco effettuato dal mio server dedicato?

Naviga le tue risposte
6

C'è stato un improvviso picco insolito del traffico in uscita dal mio server dedicato in hosting (OS - Windows Server 2008 R2 ). L'hoster ha minacciato di bloccare il server se il problema non è stato risolto.

Sono presenti un'applicazione ASP.NET MVC e un database SQL Server 2008 Express installato sul server.

Dopo aver installato tutte le patch di sicurezza mancanti, le password modificate e indurite, ho scansionato il server con lo Strumento di rimozione malware per Microsoft (niente trovato). Ma non credo che il problema sia risolto.

Che cosa dovrebbe essere fatto in questo caso?

    
posta rem 24.08.2011 - 13:33
fonte

3 risposte

10

Se sei veramente paranoico, estrai solo i dati e ricarica completamente il server.

Nella maggior parte dei casi, trovo soddisfacente avviare il server da un disco di ripristino antivirus avviabile ed eseguire una scansione completa. Il disco di ripristino aggiornabile e gratuito di Kaspersky è una buona scelta.

ftp://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/

È importante utilizzare uno scanner avviabile. Alcuni malware moderni possono completamente rendersi invisibili durante il processo di avvio e quindi nascondersi dagli scanner, anche in modalità provvisoria. Effettuando il boot da un CD, non ti danno alcuna possibilità di malware.

    
risposta data 24.08.2011 - 13:37
fonte
8

Qual è veramente il problema qui?

Un picco improvviso nel traffico di rete non indica nient'altro che alcuni processi in corso.

Suppongo che quando dici "picco insolito improvviso", stai dicendo che c'era una quantità elevata di traffico (che di solito non si verifica), e che è durato solo un breve periodo.

Potrebbe essere una routine di backup? Ciò genererebbe anche una quantità elevata di traffico di rete per un breve periodo di tempo.

Forse il problema sta nel tuo fornitore di servizi? Se un picco improvviso della rete è sufficiente per farti chiudere, guarderei altrove per un altro fornitore. Un pensiero divertente è che il tuo provider sta effettivamente minacciando di eseguire un attacco di tipo Denial of Service su di te.

Forse hai altri dettagli sull'insolito traffico di rete?

    
risposta data 24.08.2011 - 14:52
fonte
3

La prima cosa da fare è usare il firewall (preferisci il firewall hardware al software sulla macchina). Configuralo per rilevare il traffico in uscita dannoso e bloccarlo. Con questa impostazione è necessario evitare quei picchi indesiderati di utilizzo della larghezza di banda, o almeno ridurne al minimo l'occorrenza. In effetti questo potrebbe ostacolare la tua attività, ma non tanto quanto essere bloccata dal tuo ISP.

Inoltre, il firewall ti avviserà e ti aiuterà ad analizzare la situazione per identificare ciò che sta causando il problema.

La seconda cosa da fare è scansionare la macchina alla ricerca di virus e possibili malware. So che l'hai fatto, ma lascia che ti ricordi che è necessario farlo in modalità offline, non dal sistema potenzialmente infetto perché gli strumenti potrebbero essere compromessi da virus già presenti.

Forse troverete più conveniente / economico per il backup dei dati e configurare un nuovo sistema da zero.

    
risposta data 24.08.2011 - 14:06
fonte

Leggi altre domande sui tag

È possibile decodificare una sessione SSL / TLS senza eseguire un attacco MITM? Posso recuperare l'account gmail di un ex dipendente?