Il mio server è utilizzato per gli attacchi DDoS

5

Ho un server web (centos + cpanel), e uno dei client ha usato il mio server per DDoS-ing, come posso identificare quel client / utente?

Quali registri dovrei guardare, ci sono delle impostazioni che posso modificare quindi tali cose non possono accadere di nuovo in futuro.

Grazie

    
posta ProDraz 15.01.2012 - 19:05
fonte

3 risposte

4
  1. Prima di tutto eravate sicuri che fosse il vostro cliente e che il vostro sistema non fosse stato compromesso?
  2. Esegui il backup dei log
  3. Contatta la polizia, se necessario
  4. Come è stato fatto il DDoS?

Assicurati che il tuo firewall sia attivo e scansiona il tuo host con nmap per cercare le porte che non dovrebbero essere aperte.

Se il tuo cliente può usare solo script PHP o Shell, puoi limitare il tempo e la memoria che i suoi script possono usare. Questo rende più difficile, ma non impossibile, fare un attacco.

Se il tuo sistema è compromesso, puoi NON FIDARTI più! I rootkit possono nascondersi molto, includendo le statistiche sbagliate nell'uso top o su disco!

Modifica

Se si tratta di un VPS, sospetto che tu abbia ricevuto un IP dalla destinazione che sta attaccando? Se non chiedi l'IP.

Se stai usando NAT allora chiedi loro di mandarti l'intervallo di porte da dove è avvenuto l'attacco. Quindi puoi identificare il VPS che ha causato problemi.

    
risposta data 15.01.2012 - 19:24
fonte
1

Se il DDOS è attivo al momento dell'indagine, di solito è possibile individuarlo dal fatto che è in stato "R" in esecuzione, al fine di creare continuamente nuove connessioni (provatelo un paio di volte):

ps uaxwf | grep ' R'

Se non è così, allora puoi individuarlo tramite le connessioni di rete che sta facendo - le connessioni fatte dagli script PHP e CGI degli utenti sono sospette:

netstat -antup

Solitamente gli script DDOS sono script PHP o CGI che funzionano senza privilegi di root. Se trovi DDOS in esecuzione con i privilegi di root, allora hai un problema.

Se consenti le connessioni in entrata, potresti avere una shell di ascolto:

netstat -lntup

In caso contrario, puoi cercare un elevato volume di POST recenti in un singolo sito. Non tutti i gusci delle porte posteriori usano il POST, ma sono popolari in modo ricorrente. Questo lo farà:

find /usr/local/apache/domlogs -type f -mmin -10 -maxdepth 1 |
   xargs tail -F -n 10 | grep POST

Se trovi qualcosa di insolito come rsknnf.php , probabilmente è una shell backdoor, anche se a volte sono nascosti alcuni livelli in profondità nel codice sorgente di alcuni CMS. Se ne trovi uno, uccidi l'account.

    
risposta data 13.05.2014 - 09:15
fonte
0

Dato che stai usando VM, dovresti semplicemente controllare i parametri del firewall, della larghezza di banda e della CPU della VM poichè molto probabilmente mostreranno un picco, quindi saprai di quale client dare la colpa.

Se hai fallito e non hai impostato il monitoraggio delle risorse (e quindi non sai come si è verificato), probabilmente dovresti semplicemente cancellare il server per essere sicuro e ricominciare da capo, e fallo correttamente questa volta .

Puoi limitare l'accesso ai tuoi clienti alle risorse, come i pacchetti al secondo e la larghezza di banda, ma in alcuni casi ciò potrebbe dare ai tuoi clienti un'esperienza negativa.

La cosa migliore è probabilmente monitorare e reagire a attività sospette.

    
risposta data 20.07.2015 - 21:43
fonte

Leggi altre domande sui tag