Eu tenho um servidor executando vários hosts da web (todos gerenciados internamente) que foi objeto do que parecia ser um ataque do DOS na noite passada. Bloqueei o IP de ataque no IPTABLES para cadeias de entrada e saída. Isso pareceu resolver o problema e fui para casa.
Esta manhã o servidor morreu novamente - desta vez parece que o netstat estava enviando vários SYN para o IP atacante. Obviamenteeles foram descartados pela cadeia IPTABLES OUTPUT, mas havia tantos na pilha que ela falhou.
Estou preocupado que o servidor esteja enviando syn's para o invasor. Presumivelmente, ele está tentando estabelecer uma nova conexão de saída com o IP do invasor na porta 80, mas por quê? Isso significa que o servidor está comprometido? Como posso descobrir o que está causando isso? Eu tentei netstat -p mas apenas mostra o proprietário das tentativas de saída como httpd.
Existem alguns sites grandes no diretório da web, então minha tentativa de obter o IP do invasor em todos os arquivos da web levaria dias.
O que fazer?
Muito obrigado antecipadamente....
Responder1
O servidor/host virtual pode estar comprometido e o site pode tentar baixar shells/backdoors/instruções adicionais. Difícil dizer como descobrir qual é o host virtual.
Se você não consegue fazer o grep no servidor de produção, você pode tentar fazer o grep no backup. O mesmo acontece com os registros.
Ou apenas dê uma olhada nos arquivos modificados nos últimos 24 a 48 dias.
Se httpd = Apache, você pode tentar obter o pid do netstat e, em seguida, tentar corresponder à saída de status do servidor (se o IP for descartado, o thread do servidor poderá ser executado por um longo tempo, até que wget/curl/qualquer que seja o tempo limite ).
Você também pode tentar encontrar solicitações com tempos de resposta muito longos nos logs httpd (é necessário modificar o formato do log, já que normalmente nenhum servidor web registra o tempo da solicitação)