Ho un server API su Digitalocean. Ieri mi hanno detto che ho "un grande flusso di traffico da uno o più server che sta interrompendo il normale flusso di traffico per altri utenti".
Ho controllato i miei processi in esecuzione e sembra che qualcuno abbia iniettato uno script ed eseguito con l'autorizzazione root
. L'immagine è la seguente:
il fatto è che non riesco nemmeno a trovare questo file udp_flood.txt
. e non so nemmeno come si possa ottenere con root
così facilmente ..
La mia ipotesi è nel mio backend Ho un'API che consente all'utente di caricare le proprie immagini sul sito. E poi ritaglia / ridimensiono l'immagine e carica su AWS. Ma non potrei essere sicuro che questa sia la causa del problema, quindi non so come prevenire le future iniezioni.
Quindi le mie domande sono:
- come l'ha fatto per iniettare script ed eseguire come root?
- come prevenirlo? è sicuro che la causa derivi dalla funzionalità di caricamento?
- come registrarlo per cui in futuro so di essere stato attaccato? (invece del mio fornitore di servizi che mi dice)