Назад | Перейти на главную страницу

Что означают эти журналы? Я на кого-то нападаю?

Этой ночью мой сервер был переведен в режим "защиты от взлома", в котором я мог использовать только FTP только для чтения для загрузки своих данных.

Они сказали мне, что я представляю угрозу для сети, и что это были журналы, которые привели к предупреждению:

Attack detail : 82Kpps/25Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason
2016.04.24 03:04:13 CEST   MY_IP:44530     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:35962     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:18864     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:16468     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:2619      8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:62047     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:7871      8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:12277     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:8326      8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:20403     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:18801     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:19608     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:35276     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:43425     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:43856     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:41362     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:1385      8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:38576     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:1623      8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:54750     8.8.8.8:53              TCP      RST            40 ATTACK:DNS

Где MY_IP - это, очевидно, IP-адрес моего сервера.

Что это происходит?
Я на кого-то нападаю?
На меня напали?
Разве 8.8.8.8 не Google DNS?

security logging

Похоже, ваш сервер используется в атаке с усилением DNS [1] [2] [3].

Это означает, что ваш сервер бомбардирует DNS-сервер Google запросами, так что да, ваш сервер используется для атаки на Google.

Вы не подвергаетесь атаке, ваш сервер был взломан и используется для атаки на кого-то другого, в этом случае похоже, что это Google.

8.8.8.8 - общедоступная DNS-служба Google.

Ваш сервер был полностью пропатчен? Где все ваши порты заблокированы, кроме тех, которые вам нужны? У вас есть слабые пароли?