Inondazione UDP dalla mia macchina o falso positivo?

6

La società che ospita il mio server dedicato mi ha avvisato di quello che pensano sia il traffico malevolo proveniente dalla mia macchina. Mi hanno fornito dei grafici che mostrano una grande quantità di traffico UDP proveniente dall'indirizzo IP della mia macchina e un'altra macchina sulla loro rete, entrambi diretti a un indirizzo che sembra essere un webhost russo. Il traffico è durato circa 15 minuti, era di circa 80 Mbps, e si è verificato in un giorno in cui ero fuori città e non connesso al server o facendo qualcosa di speciale con esso. La mia macchina sta eseguendo Debian. Il mio webhost dice che "hanno rimosso la rotta nulla e sembra non ricominciare". (Non so cosa significhi.) Ho lanciato un rilevatore di rootkit chiamato rkhunter e non ha trovato niente.

Non ho alcuna conoscenza avanzata della sicurezza, quindi è difficile per me valutare se questa è una prova evidente che la mia macchina è stata compromessa. Ho notato quanto segue in questa risposta :

Are you sure your server is the source of the packets? It's easy to forge the source address for UDP packets.

Le informazioni del mio webhost sono una prova evidente del fatto che la mia macchina è stata compromessa e che devo farle reinstallare?

    
posta Ben Crowell 17.08.2015 - 04:40
fonte

2 risposte

7

Hai ricevuto il rapporto dal tuo provider di hosting. Saranno in grado di stabilire se il traffico è originato dal tuo server o se è stato falsificato. Pertanto, se il tuo provider di hosting è competente, probabilmente il rapporto è corretto.

Se fossi nei tuoi panni, ci sono due cose che vorrei fare. Chiederei al fornitore di hosting se possono inviare una cattura di pacchetti di alcuni campioni del traffico inondazioni. Dopo aver ispezionato la traccia del pacchetto, ci si troverà in una posizione molto migliore per giudicare la correttezza del rapporto. Inoltre, eseguivo l'accesso sul server ed eseguivo ifconfig per vedere quanto traffico è stato inviato dalla macchina dall'ultimo riavvio. (Si noti che se si tratta di un sistema a 32 bit, il contatore si estende intorno a 4 GB e quindi non è garantito che sia accurato.)

Se il tuo host ha inviato un flusso di pacchetti UDP, ci sono diversi modi in cui potrebbe essere successo. Ma la spiegazione più probabile è una sorta di compromesso. Compromettere l'account root non è necessario per avviare un flusso di pacchetti UDP, compromettendo ogni singolo account. È possibile verificare se un socket è ancora associato alla porta di origine del traffico flood. Se sei fortunato potresti scoprire che il programma genera il traffico in quel modo. In alcune occasioni ho visto un programma legittimo produrre accidentalmente un flusso di pacchetti senza che nessun compromesso si sia verificato. Se hai un software sviluppato internamente che comunica su UDP, questo potrebbe essere quello che ti è successo.

Se dovesse risultare che il provider non ha una traccia di pacchetti da mostrare, e il conteggio dei byte sull'interfaccia di rete non indica che molti dati sono stati inviati, e non è possibile trovare alcuna prova di un compromesso del sistema, quindi potrebbe essere che il provider abbia semplicemente inoltrato un falso rapporto ricevuto senza eseguire le proprie indagini.

    
risposta data 17.08.2015 - 08:36
fonte
2

I don't have any advanced knowledge of security

Questo è il problema qui.

Hai installato un filtro iptables / packetfilter (vulgo: firewall) in uscita?

Is the information from my webhost strong evidence that my machine has been compromised and that I need to have them do a reinstall?

Probabilmente: sì (reinstallare). Il tuo server deve essere considerato sfruttato.

Ma dal momento che una semplice reinstallazione non eliminerebbe la causa principale dell'exploit iniziale (webapp? password errate + forza bruta? chissà ...)

    
risposta data 17.08.2015 - 06:59
fonte

Leggi altre domande sui tag