[поиск источника DoS на сервере]

Цитата:

Данные форумчане пишут в папки, изолированные от хостинга?

Вообще-то форумчане данные вообще никакие не пишут, по крайней мере ни загрузка файлов, аватаров, и т.п. на этих форумах не разрешена. То, что у phpbb-х форумов немеренно дырок - я думаю, все знают, поэтому мы постарались ограничить опасный функционал до минимума.

По поводу антивируса - конечно проверили, вроде все чисто...

[поиск источника DoS на сервере]

А DNS-сервер не поднят , а все пакеты идут на определенный IP, причем где-то очень далеко в Штатах... Я так понимаю атака организована скорее всего в целях положить локальную подсеть, в которой находится сервер. Либо положить сам сервер "изнутри"...

Давайте я немного постараюсь уточнить вопрос: Какими средствами, анализом каких логов можно определить источник (генератор) флуда (в результате анализа этих данных мы сможем определить, как злоумышленник попал на сервер)?

Если это исполняемый файл - как его найти? Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ?

Конечно, сейчас мы постарались максимально все закрыть, но если файл (генератор) остался на сервере, а параметры атаки (порт, мощность, время) возможно передать, зная URL этого файла - проблема остается...

[поиск источника DoS на сервере]

по всплеску наблюдали генерацию порядка 30-80 тыс. пакетов в секунду, которые генерировали трафик в 80Мб/с - причем исключительно udp-пакеты на 53-й порт... маловероятно, что это ошибка в форуме.

[поиск источника DoS на сервере]

Просмотрели очень много... искали исполняемый файл от другого юзера (апача, если файлик залили через дыру в форуме), искали недавно измененные файлы, проверяли их... ничего нет... как будто ничего и не было

А ведь было! Конечно, есть вероятность того, что злоумышленник после атак этот файл удалил, но ведь должны же были остаться следы... просто уже не знаю, где искать.

[поиск источника DoS на сервере]

Ну конечно, закрыли Но, по большому счету, проблема осталась не решенной... Мне необходимо узнать - кто это сделал и как. И какими методами.

[поиск источника DoS на сервере]

Такая вот проблема: у меня есть сервер (CentOS), на котором хостятся несколько (20) сайтов, настроен suexec - сайты работают на PERL, кроме того есть 3 сайта на PHP (форумы phpbb), недавно столкнулся с такой проблемой - сервер периодически генерирует DoS-атаки на другой сервер по 53-му порту...

Перерыл все логи - не могу найти источник... есть вероятность того, что поломали форумы phpbb, но мне же необходимо найти генератор атаки... как? Честно говоря я не очень большой специалист... особенно не ругайте проблема еще в том, что не смог отследить работу сервера именно во время проведения атаки. Помогите пожалуйста.