Tengo un servidor que ejecuta varios servidores web (todos administrados internamente) que fue objeto de lo que parecía un ataque DOS anoche. Bloqueé la IP atacante en IPTABLES tanto para la cadena de entrada como para la de salida. Eso pareció resolver el problema y me fui a casa.
Esta mañana el servidor volvió a morir; esta vez, según netstat, parece que estaba enviando múltiples SYN a la IP atacante. Obviamentefueron eliminados por la cadena IPTABLES OUTPUT, pero había tantos en la pila que falló.
Me preocupa que el servidor esté enviando sincronizaciones al atacante. Presumiblemente está intentando establecer una nueva conexión saliente con la IP del atacante en el puerto 80, pero ¿por qué? ¿Significa esto que el servidor está comprometido? ¿Cómo puedo encontrar la causa de esto? Probé netstat -p pero solo muestra el propietario de los intentos salientes como httpd.
Hay algunos sitios grandes en el directorio web, por lo que mi intento de buscar la IP del atacante en todos los archivos web llevaría días.
¿Qué hacer?
Muchas gracias de antemano....
Respuesta1
El servidor/host virtual podría estar comprometido y el sitio podría intentar descargar shells/puertas traseras/instrucciones adicionales. Es difícil decir cómo saber qué host virtual es.
Si no puede realizar búsquedas en el servidor de producción, puede intentar realizar búsquedas en la copia de seguridad. Lo mismo con los registros.
O simplemente eche un vistazo a los archivos modificados en los últimos 24 a 48 días.
Si httpd=Apache, puede intentar tomar el pid de netstat y luego intentar hacer coincidir la salida del estado del servidor (si se elimina la IP, entonces ese subproceso del servidor podría ejecutarse durante mucho tiempo, hasta que wget/curl/lo que sea se agote el tiempo de espera). ).
También puede intentar encontrar solicitudes con tiempos de respuesta muy largos en los registros httpd (debe modificar el formato de registro, ya que normalmente ninguno de los servidores web registra el tiempo de la solicitud).