Eseguiamo un server di posta (postfix / dovecot / centos 6.4). L'hardware è basato su un chase supermicro con funzionalità IPMI.
Gestisce anche un'interfaccia web per accesisng mail (server web Apache)
Recentemente la nostra DC ha affermato che stiamo inviando attacchi DDOS in uscita che hanno raggiunto 1,3 Gbps come da loro affermato. Hanno annullato l'IP. Dopo la nostra richiesta hanno nuovamente attivato l'IP.
Ora stiamo monitorando il server in modo regolare e vedendo il traffico in uscita anormale con una velocità di trasmissione di 2mbps non inviamo più email) con picchi fino a 30mbps dopo ogni 30 minuti. (come da dati di New Relic Monitor)
Il provider ha affermato che potremmo eseguire attacchi di riflessione DDOS. Gli accessi al server sono sicuri e il log di autenticazione non dice nulla di anormale
Non abbiamo alcun server DNS in esecuzione. Anche NTP è in esecuzione in modalità client ed è protetto.
nettop, iptraffic, nethogs mostrano tutto normale, solo il sommario del traffico trasmesso e ricevuto in ifconfig dice sulla grande quantità di dati inviati.
Inoltre abbiamo disabilitato il client NTP sul nostro IPMI mentre leggevo che il supermicro IPMI è vulnerabile al DDOS di riflessione NTP.
A questo punto sono senza tracce e cerco aiuto dagli esperti qui. Gli aiuti saranno apprezzati