Запускаем почтовый сервер (postfix / dovecot / centos 6.4). Аппаратная часть построена на базе супермикро шасси с функциями IPMI.
Он также запускает веб-интерфейс для доступа к почте (веб-сервер Apache).
Недавно наш DC сказал, что мы отправляем исходящие DDOS-атаки, которые, по их словам, достигли 1,3 Гбит / с. Они аннулировали IP. После нашего запроса они снова активировали IP.
Теперь мы регулярно контролируем сервер и наблюдаем аномальный исходящий трафик со средней скоростью 2 Мбит / с, которую мы не отправляли так много писем) с пиками до 30 Мбит / с после каждых 30 минут (согласно данным New Relic Monitor).
Провайдер сказал, что мы можем проводить атаки отражения DDOS. Вход на сервер безопасен, а в журнале аутентификации нет ничего необычного
У нас нет запущенного DNS-сервера. Также NTP работает в клиентском режиме и защищен.
nettop, iptraffic, nethogs показывают все нормально, только переданный и полученный трафик, сводка в ifconfig говорит о большом количестве отправленных данных.
Также мы отключили клиент NTP на нашем IPMI, поскольку я прочитал, что supermicro IPMI уязвим для DDOS отражения NTP.
На данный момент я ничего не понимаю и обращаюсь за помощью к экспертам. Помощь будет оценена по достоинству!
Обновите прошивку IPMI до последней версии. Похоже, дело не в вашей ОС, а в уязвимой карте IPMI.
Вы не сказали нам, какая это модель IPMI / Chasis, но на список последних прошивок Super Micro версии 1.07 нет, поэтому она должна быть более новой.