Прошлой ночью у моего сервера (centos5) был необычный исходящий трафик, около 12 КБ, и сейчас мой сервер не работает, потому что я должен оплачивать стоимость этого трафика. Мой сервер - это небольшой сервер для небольшого приложения. Я не знаю, что случилось, но служба поддержки хостинга говорит, что это может быть ваш сервер взломан и использован для DDOS-атаки, или это может быть ошибка усиления и т. Д. Они мало помогают.
У меня следующие вопросы: как я могу проверить, что трафик используется и для чего? Как я могу проверить, что мой сервер взломан? Персонал хостинга имел мой пароль root для некоторых задач, которые я им уже дал. и как я могу предотвратить это? Есть ли возможность установить ограничение на исходящий трафик?
Как я могу проверить, есть ли трафик и для чего он используется? Как я могу проверить, что мой сервер взломан?
Ответить на это будет довольно сложно, не исследуя логи. Тот факт, что хостинговая компания отключила ваш сервер до тех пор, пока вы не заплатите, понятен в данной ситуации, но это также блокирует расследования. Может быть, они могут получить журналы для вас, чтобы вы могли исследовать?
Еще одна вещь, которую вы можете попробовать, - это связаться с их специалистами по сетевым операциям и получить информацию о том, что произошло в сети той ночью: у них, вероятно, есть цифры / диаграммы / отчеты, которые могут быть хорошим источником информации.
и как я могу предотвратить это?
Это будет сделано путем исправления ошибки / проблемы с безопасностью / того, что использовали злые люди (учитывая, что вы действительно были взломаны). И будьте в курсе обновлений безопасности !!!
Есть ли способ установить ограничение на исходящий трафик?
Это довольно сложный вопрос, так как вы хотите, чтобы ваше приложение сервер + как можно быстрее отвечало на «легальный» трафик (например, 100 пользователей одновременно подключаются к вашему приложению, что приведет к резкому увеличению использования сети. ), сохраняя при этом возможность побеждать злые входящие запросы.
Проведите криминалистическую экспертизу на диске или в журналах их сетевого трафика, чтобы узнать, что это было. Это требует сотрудничества с вашим провайдером.
Судя по объему передачи, вероятно, кто-то настроил общий доступ к файлам или атаку с увеличением пропускной способности за ваш счет. US-CERT TA14-017A есть обзор атак усиления. Обратите внимание, в частности, на то, как обычные службы, такие как NTP или Memcached, могут генерировать огромный трафик атаки при неправильной настройке.
Оцените безопасность этого хоста: насколько отстает от обновлений безопасности, разрешен ли удаленный вход с паролем, насколько легко взломать пароли, просматривали ли вы когда-нибудь журналы аутентификации. Будь честным.