Jump to content
Sign in to follow this  
Mironoff

поиск источника DoS на сервере

Recommended Posts

Такая вот проблема: у меня есть сервер (CentOS), на котором хостятся несколько (20) сайтов, настроен suexec - сайты работают на PERL, кроме того есть 3 сайта на PHP (форумы phpbb), недавно столкнулся с такой проблемой - сервер периодически генерирует DoS-атаки на другой сервер по 53-му порту...

Перерыл все логи - не могу найти источник... есть вероятность того, что поломали форумы phpbb, но мне же необходимо найти генератор атаки... как? Честно говоря я не очень большой специалист... особенно не ругайте:) проблема еще в том, что не смог отследить работу сервера именно во время проведения атаки. Помогите пожалуйста.

Share this post


Link to post
Share on other sites

Ну конечно, закрыли Smile Но, по большому счету, проблема осталась не решенной... Мне необходимо узнать - кто это сделал и как. И какими методами.

Share this post


Link to post
Share on other sites

Скорее всего в таком случае необходимо пройтись по форумам посвященным безопасности и, скорее всего, англоязычным.

Share this post


Link to post
Share on other sites

Просмотрели очень много... искали исполняемый файл от другого юзера (апача, если файлик залили через дыру в форуме), искали недавно измененные файлы, проверяли их... ничего нет... как будто ничего и не было:)

А ведь было! Конечно, есть вероятность того, что злоумышленник после атак этот файл удалил, но ведь должны же были остаться следы... просто уже не знаю, где искать.

Share this post


Link to post
Share on other sites

А это не может быть просто ошибкой в том же движке форума? При определенных условиях, к примеру, такая реакция софта?

Share this post


Link to post
Share on other sites

по всплеску наблюдали генерацию порядка 30-80 тыс. пакетов в секунду, которые генерировали трафик в 80Мб/с - причем исключительно udp-пакеты на 53-й порт... маловероятно, что это ошибка в форуме.

Share this post


Link to post
Share on other sites

А dns сервер у вас не поднят. А то может неправильно настроен и дает кучу рекурсивных запросов. Посмотрите кому адресованы пакеты.

Share this post


Link to post
Share on other sites

А DNS-сервер не поднят Smile, а все пакеты идут на определенный IP, причем где-то очень далеко в Штатах... Я так понимаю атака организована скорее всего в целях положить локальную подсеть, в которой находится сервер. Либо положить сам сервер "изнутри"...

Давайте я немного постараюсь уточнить вопрос: Какими средствами, анализом каких логов можно определить источник (генератор) флуда (в результате анализа этих данных мы сможем определить, как злоумышленник попал на сервер)?

Если это исполняемый файл - как его найти? Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ?

Конечно, сейчас мы постарались максимально все закрыть, но если файл (генератор) остался на сервере, а параметры атаки (порт, мощность, время) возможно передать, зная URL этого файла - проблема остается...

Share this post


Link to post
Share on other sites

Mironoff писал(а) Wed, 25 February 2009 13:41

Если это исполняемый файл - как его найти?

Антивирусом, я надеюсь, не забыли проверить.

Цитата:

Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ?

А это, обычно, обновлением ПО закрывают.

Share this post


Link to post
Share on other sites

gogi писал(а) Wed, 25 February 2009 19:08

Mironoff писал(а) Wed, 25 February 2009 13:41

Если это исполняемый файл - как его найти?

Антивирусом, я надеюсь, не забыли проверить.

ИМХО, нелогичное предположение. Для того, чтобы что-то вирусом заразить - права нужны. То есть какой-то бинарник в системе должен был заболеть...

Цитата:

Цитата:

Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ?

А это, обычно, обновлением ПО закрывают.

ЗАкрывают - понятно как, но вопрос стоит, как понять, что уже произошло и проанализировать ситуацию.

Share this post


Link to post
Share on other sites

Legalizer писал(а) Wed, 25 February 2009 19:30

gogi писал(а) Wed, 25 February 2009 19:08

Mironoff писал(а) Wed, 25 February 2009 13:41

Если это исполняемый файл - как его найти?

Антивирусом, я надеюсь, не забыли проверить.

ИМХО, нелогичное предположение. Для того, чтобы что-то вирусом заразить - права нужны. То есть какой-то бинарник в системе должен был заболеть...

1. Исполняемый - вряд ли, но проверка не помешает.

2. автору . Данные форумчане пишут в папки, изолированные от хостинга?

Share this post


Link to post
Share on other sites

Цитата:

Данные форумчане пишут в папки, изолированные от хостинга?

Вообще-то форумчане данные вообще никакие не пишут, по крайней мере ни загрузка файлов, аватаров, и т.п. на этих форумах не разрешена. То, что у phpbb-х форумов немеренно дырок - я думаю, все знают, поэтому мы постарались ограничить опасный функционал до минимума.

По поводу антивируса - конечно проверили, вроде все чисто...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...