Мой веб-хостинг сообщил мне, что мой сервер Fedora является источником исходящей DDoS-атаки на кого-то. Веб-хостинг не предоставил никакой другой информации. Как я могу узнать, какой процесс выполняет атаку, чтобы остановить ее? Я понимаю, что это расплывчато, но я думаю, что если я смогу каким-то образом просматривать исходящий трафик, я смогу найти процесс, который его отправляет.
Я ценю, что мне нужно будет найти точку входа, как только я остановлю атаку, и, вероятно, мне нужно будет повторно создать образ сервера с обновлениями.
Заранее спасибо.
Вы можете использовать что-то вроде iptraf (доступно в ближайшем репо). Это сообщит вам, какие порты используются в вашей системе и с какой скоростью. Как только вы узнаете, какие порты используются, вы можете использовать netstat, чтобы найти процесс, связанный с каждым портом. Итак, если, например, вы определили, что ваш порт 6666 активен, вы можете использовать
netstat -tunp | grep 6666
tcp 0 77352 192.168.254.188:56405 192.168.254.181:6666 ESTABLISHED 30072/nc
Как вы можете видеть в этой демонстрации, pid 30072 использует порт.
Учтите, что вы можете вообще ничего не найти. Есть вероятность, что ваша система была взломана, и инструменты, которые вы используете, не дают правильных ответов, которые должны. Даже использование системы для дальнейшего анализа может привести к большему количеству проблем, если, например, есть бэкдор и вы вводите свои пароли.
Единственное решение - выключить сервер и считать его взломанным. Если вы хотите найти источник безопасным способом, вам придется исследовать систему в изолированной среде.