Я не вижу ничего подозрительного на сервере (нет подключений netstat к удаленному 80 порту), но я не профессиональный администратор сервера (я хардкорный разработчик программного обеспечения). Пожалуйста, не пишите явных комментариев (нанять профессионального человека / компанию) - мы это учтем, когда этот вопрос будет решен. Сервер работает под управлением Windows Server 2008 R2. Какие инструменты использовать для анализа этой ситуации?
Это не точная копия нескольких «что мне делать, если мой сервер взломан», поскольку мне в основном нужно предоставить доказательства того, что мой сервер чист.
С самого начала были приняты основные меры безопасности (включен брандмауэр Windows, применены патчи для обновления Windows, Clamwin запущен и работает).
Пожалуйста, не пишите явных комментариев (нанять профессионального человека / компанию) - мы это учтем после того, как этот вопрос будет решен.
С сожалением должен сказать, что тогда вы не справляетесь с этим инцидентом безопасности должным образом.
Если в вашем доме пожар, вы ждете, пока он сам погаснет, прежде чем вызывать пожарных?
Если у вас нет сотрудников, способных справиться с подобными инцидентами, вам следует обратиться за помощью к внешним ресурсам, которые могут справиться с нарушением безопасности.
Попросите своего интернет-провайдера создать журналы, показывающие участие вашего сервера в инциденте (например, график подозрительного трафика, созданный на основе данных с маршрутизаторов или коммутаторов вашего интернет-провайдера). Если они могут предоставить такие доказательства, ваша система подозреваема.
Если ваша машина действительно была вовлечена в DoS-атаку, и вы сами не предприняли таких действий, ваша машина почти наверняка скомпрометирована. Если ваша система скомпрометирована, лучший совет, который вы получите, - выбросить ее, как в Как мне поступить с взломанным сервером? или любой из других вопросов, похожих на него.
Чтобы определить, была ли ваша система взломана, помните, что вы не можете полагаться на любой инструменты, установленные в системе, и что хороший злоумышленник не оставит очевидных следов (кроме, возможно, нечетного трафика, отмеченного внешней системой). Если у вас есть подозрения, что ваша система был скомпрометирован, это является все еще скомпрометирован до тех пор, пока он не будет восстановлен с использованием известных чистых носителей и программного обеспечения.
Наша бывшая хостинговая компания дала нам неверный IP-адрес, когда мы получили новый сервер. Затем они обвинили нас в рассылке спама, потому что IP-адрес был в черном списке спамеров где-то в сети. После большого количества потраченного впустую времени мы обнаружили, что на самом деле это был их предыдущий клиент, рассылающий спам с этого IP-адреса. Заставьте их доказать вам, что произошло, когда это произошло, кто сообщил об этом и т. Д. AFAIK любой может сообщить IP-адрес большинству этих сайтов без особых доказательств.
Вы никогда не можете быть уверены, что ваша система не взломана. Вы можете реализовать разумную безопасность и целостность для своей системы только в зависимости от важности времени безотказной работы, надежности, целостности и т. Д. Вас не могут разумно попросить защитить вашу систему, не зная как.
Просто потому, что ваш сервер не выполняет DDoS-атаку сейчас не означает, что этого не было раньше, и это безусловно не означает, что ваш сервер не взломан.
Если у DC есть журналы трафика, показывающие, что ваш сервер участвует в атаке, то это должно быть все необходимое доказательство. Получение копии журналов может помочь вам определить, что не так с вашим сервером - обратите особое внимание на время.
Это не работа для кого-то с средний обучение администратора. Отслеживание этого материала может быть жесткий и требует, чтобы вы использовали все уловки, которые вы знаете, и множество уловок, которые у вас нет. Возможно, вы ищете очень маленькую иголку в очень большом стоге сена. Даже у опытных администраторов возникают проблемы с подобными вещами.