Minha máquina foi identificada como amplificadora para ataque DRDoS. Como posso rastrear como minha máquina foi usada para fazer isso e remover o software usado?
Tentei verificar o log do sistema da máquina, mas não consigo encontrar nada. Disseram que havia um serviço na minha máquina ativo na porta 17 udp, participando do ataque, mas não consigo encontrá-lo, atualmente, usando o netstat.
Responder1
Se o DDoS terminar, o que quer que estivesse escutando na porta 17 pode não estar mais em execução, pois o servidor C&C pode ter solicitado o desligamento. Também pode ser possível que o seu PC não tenha sidoenviandotráfego em udp/17, mas estava criando solicitações para um servidor QOTD diferente em udp/17.
Se fosse você quem estava enviando tráfego amplificado, udp/17 é tradicionalmente QOTD (Quote of the Day), que realmente não tem negócios em execução em nenhum servidor moderno. QOTD pode ser usado para amplificação de DNS, enviando até 512 bytes para uma solicitação UDP forjada.
A maneira de se defender contra isso é ter um firewall que não permita nenhuma solicitação de entrada de serviços que você não acessa explicitamente
No entanto, pode ser simplesmente que a sua máquina esteja infectada com malware e não esteja sendo usada como amplificador, mas sim que você estava solicitando a amplificação (por exemplo, você estava enviando pacotes UDP falsos para outra máquina que fez a amplificação).
Se você estiver executando sua própria rede de borda, implementeBCP38(ou solicite ao seu ISP upstream para implementá-lo). Basicamente, isso diz "Não deixe entrar ou sair de sua rede nenhum tráfego que não seja designado ou que não venha de sua rede". Se todas as redes de ponta e ISPs implementassem isso, os ataques de amplificação UDP desapareceriam da noite para o dia. O que isso significa essencialmente é que quando seu computador começou a falsificar solicitações UDP, seu dispositivo de borda diria "Oh, esta solicitação UDP foi designada, 203.0.113.77
mas eu só conheço a rede 198.51.100.0/24
, portanto, esse tráfego é lixo e devo descartá-lo antes de deixá-lo sair minha rede. (BCP38 é para redes de clientes, não para redes de trânsito. Obviamente, se os ISPs implementassem isso em todas as suas redes, a Internet pararia)
Mais importante ainda, se a sua máquina estiver infectada com esse malware, você precisará destruir toda a máquina e começar novamente.