Attacco DDOS in uscita da un server centos

2

Eseguiamo un server di posta (postfix / dovecot / centos 6.4). L'hardware è basato su un chase supermicro con funzionalità IPMI.

Gestisce anche un'interfaccia web per accesisng mail (server web Apache)

Recentemente la nostra DC ha affermato che stiamo inviando attacchi DDOS in uscita che hanno raggiunto 1,3 Gbps come da loro affermato. Hanno annullato l'IP. Dopo la nostra richiesta hanno nuovamente attivato l'IP.

Ora stiamo monitorando il server in modo regolare e vedendo il traffico in uscita anormale con una velocità di trasmissione di 2mbps non inviamo più email) con picchi fino a 30mbps dopo ogni 30 minuti. (come da dati di New Relic Monitor)

Il provider ha affermato che potremmo eseguire attacchi di riflessione DDOS. Gli accessi al server sono sicuri e il log di autenticazione non dice nulla di anormale

Non abbiamo alcun server DNS in esecuzione. Anche NTP è in esecuzione in modalità client ed è protetto.

nettop, iptraffic, nethogs mostrano tutto normale, solo il sommario del traffico trasmesso e ricevuto in ifconfig dice sulla grande quantità di dati inviati.

Inoltre abbiamo disabilitato il client NTP sul nostro IPMI mentre leggevo che il supermicro IPMI è vulnerabile al DDOS di riflessione NTP.

A questo punto sono senza tracce e cerco aiuto dagli esperti qui. Gli aiuti saranno apprezzati

    
posta user38427 22.03.2014 - 19:50
fonte

2 risposte

3

La prima porta di chiamata potrebbe essere quella di prendere un dump di pacchetti (ad esempio, tcpdump) e vedere che cosa stai buttando fuori.

    
risposta data 22.03.2014 - 20:11
fonte
0

Forse attaker ha caricato uno script php nella tua interfaccia web (un po 'hai impostato il suo permesso su 0777 o il tuo upload upload carica i tuoi file lì). Dovresti trovare quel file ed eliminarlo. E, soprattutto, rendi la tua directory web e gli script sicuri!

    
risposta data 18.05.2014 - 04:47
fonte

Leggi altre domande sui tag