У нас был сервер Gentoo Linux (который обновлялся еженедельно или раз в две недели), который, как утверждали более высокие, запускал атаку отказа в обслуживании во всей локальной сети и вызывал ее.
Есть ли какие-нибудь файлы журналов, которые мы можем просмотреть, чтобы увидеть доказательства этого? У нас нет доступа к их инструментам или журналам.
(Мы немного подозрительно относимся к заявлению об атаке, потому что заявка касалась двух серверов Windows и компьютера Gentoo, которые предположительно были заражены вирусом, который что-то сделал, чтобы перегрузить всю сеть. Им нужны были службы, которые мы запускали на этих компьютерах. для себя в течение года или более. Они не представили никаких доказательств нападения, и в этом посте я сам пытаюсь найти доказательства на коробке).
У вас есть несколько вариантов того, как глубоко вы хотите вникнуть в это.
Полностью отключите сервер, загрузите один из загрузочных дисков для судебной экспертизы и начните искать все, что изменилось, что может быть реальной ОС. / usr / bin / / usr / lib / etc / / sbin и, очевидно, игнорируйте / usr / portage.
установите rkhunter и запустите его. Если коробка серьезно взломана, она может ничего не найти, но попробовать стоит.
Пакетный анализ Ethernet-порта сервера Gentoo с другой машины, вам понадобится доступ к коммутатору и управляемый коммутатор, чтобы сделать это правильно. Вы можете попробовать обнюхать сам компьютер, но опять же, если он серьезно скомпрометирован, вы можете ничего не увидеть.
Если вы управляете брандмауэром между вашим сервером и их сервером, попробуйте добавить разрешающие правила на порты RPC с ведением журнала.
Предполагая, что вы все еще думаете, что проблема на самом деле на другом конце провода, созывайте встречу. Попросите журналы приложений, ошибки, системные журналы и т. Д. Отнеситесь ко всему серьезно. Серьезно. Если ваш сервер был скомпрометирован, их сервер тоже может быть скомпрометирован, и им придется полностью перестроить свои машины. Все они. Если как-нибудь не выясним, что произошло на самом деле. Угрозы полной переустановки системы обычно достаточно, чтобы люди кашлянули о том, что на самом деле произошло, но адаптировать это к вашему фактическому политическому капиталу, группам и т. Д. Отстой, но иногда приходится играть в политику. Может также сыграть хорошо.
Наконец, если ваша машина Gentoo была взломана, вам придется перестроить ее с нуля. Даже отключение, chroot и запуск emerge -e world не очистят его.
iptables поддерживает ведение журнала (-j LOG). Я использовал его как для отладки правил брандмауэра, так и для обнаружения DoS.