Перейти к содержанию

поиск источника DoS на сервере


Рекомендуемые сообщения

Такая вот проблема: у меня есть сервер (CentOS), на котором хостятся несколько (20) сайтов, настроен suexec - сайты работают на PERL, кроме того есть 3 сайта на PHP (форумы phpbb), недавно столкнулся с такой проблемой - сервер периодически генерирует DoS-атаки на другой сервер по 53-му порту...

Перерыл все логи - не могу найти источник... есть вероятность того, что поломали форумы phpbb, но мне же необходимо найти генератор атаки... как? Честно говоря я не очень большой специалист... особенно не ругайте:) проблема еще в том, что не смог отследить работу сервера именно во время проведения атаки. Помогите пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты

Ну конечно, закрыли Smile Но, по большому счету, проблема осталась не решенной... Мне необходимо узнать - кто это сделал и как. И какими методами.

Ссылка на комментарий
Поделиться на другие сайты

Скорее всего в таком случае необходимо пройтись по форумам посвященным безопасности и, скорее всего, англоязычным.

Ссылка на комментарий
Поделиться на другие сайты

Просмотрели очень много... искали исполняемый файл от другого юзера (апача, если файлик залили через дыру в форуме), искали недавно измененные файлы, проверяли их... ничего нет... как будто ничего и не было:)

А ведь было! Конечно, есть вероятность того, что злоумышленник после атак этот файл удалил, но ведь должны же были остаться следы... просто уже не знаю, где искать.

Ссылка на комментарий
Поделиться на другие сайты

А это не может быть просто ошибкой в том же движке форума? При определенных условиях, к примеру, такая реакция софта?

Ссылка на комментарий
Поделиться на другие сайты

по всплеску наблюдали генерацию порядка 30-80 тыс. пакетов в секунду, которые генерировали трафик в 80Мб/с - причем исключительно udp-пакеты на 53-й порт... маловероятно, что это ошибка в форуме.

Ссылка на комментарий
Поделиться на другие сайты

А dns сервер у вас не поднят. А то может неправильно настроен и дает кучу рекурсивных запросов. Посмотрите кому адресованы пакеты.

Ссылка на комментарий
Поделиться на другие сайты

А DNS-сервер не поднят Smile, а все пакеты идут на определенный IP, причем где-то очень далеко в Штатах... Я так понимаю атака организована скорее всего в целях положить локальную подсеть, в которой находится сервер. Либо положить сам сервер "изнутри"...

Давайте я немного постараюсь уточнить вопрос: Какими средствами, анализом каких логов можно определить источник (генератор) флуда (в результате анализа этих данных мы сможем определить, как злоумышленник попал на сервер)?

Если это исполняемый файл - как его найти? Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ?

Конечно, сейчас мы постарались максимально все закрыть, но если файл (генератор) остался на сервере, а параметры атаки (порт, мощность, время) возможно передать, зная URL этого файла - проблема остается...

Ссылка на комментарий
Поделиться на другие сайты

Mironoff писал(а) Wed, 25 February 2009 13:41

Если это исполняемый файл - как его найти?

Антивирусом, я надеюсь, не забыли проверить.

Цитата:

Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ?

А это, обычно, обновлением ПО закрывают.

Ссылка на комментарий
Поделиться на другие сайты

gogi писал(а) Wed, 25 February 2009 19:08

Mironoff писал(а) Wed, 25 February 2009 13:41

Если это исполняемый файл - как его найти?

Антивирусом, я надеюсь, не забыли проверить.

ИМХО, нелогичное предположение. Для того, чтобы что-то вирусом заразить - права нужны. То есть какой-то бинарник в системе должен был заболеть...

Цитата:

Цитата:

Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ?

А это, обычно, обновлением ПО закрывают.

ЗАкрывают - понятно как, но вопрос стоит, как понять, что уже произошло и проанализировать ситуацию.

Ссылка на комментарий
Поделиться на другие сайты

Legalizer писал(а) Wed, 25 February 2009 19:30

gogi писал(а) Wed, 25 February 2009 19:08

Mironoff писал(а) Wed, 25 February 2009 13:41

Если это исполняемый файл - как его найти?

Антивирусом, я надеюсь, не забыли проверить.

ИМХО, нелогичное предположение. Для того, чтобы что-то вирусом заразить - права нужны. То есть какой-то бинарник в системе должен был заболеть...

1. Исполняемый - вряд ли, но проверка не помешает.

2. автору . Данные форумчане пишут в папки, изолированные от хостинга?

Ссылка на комментарий
Поделиться на другие сайты

Цитата:

Данные форумчане пишут в папки, изолированные от хостинга?

Вообще-то форумчане данные вообще никакие не пишут, по крайней мере ни загрузка файлов, аватаров, и т.п. на этих форумах не разрешена. То, что у phpbb-х форумов немеренно дырок - я думаю, все знают, поэтому мы постарались ограничить опасный функционал до минимума.

По поводу антивируса - конечно проверили, вроде все чисто...

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...