Il mio fornitore sospese il mio VPS dicendo che era l'origine di un attacco Dos. Mi hanno mostrato alcuni registri:
2017.03.26 21:53:20 CEST XX.My.IP.XX :55987 XX.VIC.IP.XX :8631 TCP SYN 910 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :54566 XX.VIC.IP.XX :8631 TCP SYN 907 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :19213 XX.VIC.IP.XX :8631 TCP SYN 893 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :56428 XX.VIC.IP.XX :8631 TCP SYN 912 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :8119 XX.VIC.IP.XX :8631 TCP SYN 931 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :33778 XX.VIC.IP.XX :8631 TCP SYN 903 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :26726 XX.VIC.IP.XX :8631 TCP SYN 922 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :59115 XX.VIC.IP.XX :8631 TCP SYN 890 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :46929 XX.VIC.IP.XX :8631 TCP SYN 935 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :16332 XX.VIC.IP.XX :8631 TCP SYN 887 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :64478 XX.VIC.IP.XX :8631 TCP SYN 901 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :59421 XX.VIC.IP.XX :8631 TCP SYN 906 ATTACK:TCP_SYN
Come puoi vedere il mio indirizzo IP che invia il traffico da varie porte a un server su una porta univoca.
Ho chiesto un modo per indagare, mi hanno dato l'accesso SSH, ma non ho trovato molto.
Ho controllato i log e i file, Nothing.
Ho controllato i processi in esecuzione, le connessioni in corso.
Ho chiesto il tipo di servizio che veniva colpito alla porta 8631 ma in attesa di una risposta.
Il mio server ospitava un sito web Tor per un progetto, solo HTML / CSS / js. Questo è tutto. Niente di stravagante.
Come posso sapere se era davvero il mio IP? Dal momento che è principalmente TCP, è possibile che il mio Tor Service abbia inoltrato un attacco DOS?
Potrebbe essere un incidente (il mio servizio Tor sta tentando di raggiungere un nodo e ripetere la stessa query) Qualche suggerimento forense che non conosco?