Я получил отчет о злоупотреблениях от AWS со следующей информацией: * Извлечение журнала: <<< подозрительно выглядящие соединения в сети чата Undernet IRC, подключающиеся через контролируемый вами сетевой блок (204.236.128.0/17).
Запись сделана 17 октября 2010 г., 23:47:04 PDT.
tomcat!~bacchus@204.236.250.XXX (Тампа)
[примечание - адрес, указанный выше, действительно принадлежит моему серверу] Как я могу определить, что заняло мой сервер?
Если ваша машина была взломана, и вы не планировали такой сценарий, вы фактически ничего не можете сделать. Отражайте, раскаивайтесь, перезагружайте, переформатируйте, переустанавливайте и восстанавливайте только свои данные. Затем примените все исправления поставщика, чтобы привести вашу систему в соответствие с текущими спецификациями и укрепить свои системы. Затем узнайте, как эффективно использовать IDS на основе хоста, чтобы вам было легче оправиться от любых будущих атак. Затем проведите тщательный анализ развернутого вами пользовательского кода / сценариев и постарайтесь сделать их более безопасными. Тогда, возможно, вы можете подумать о том, чтобы снова включить эту службу.