Необходимо выяснить, почему наш сервер подвергал DDOS-атак нашего хост-провайдера.

Привет всем, и, надеюсь, кто-нибудь может дать мне первый шаг, где я могу начать расследование причины, чтобы узнать, почему наш сервер Linux, похоже, атаковал нашего поставщика услуг, на котором размещен сервер.

Сегодня я получил электронное письмо о том, что один из наших серверов скомпрометировал одного из наших клиентов-поставщиков услуг как часть скоординированной ботнета DDoS, поэтому им пришлось обнулить его, чтобы смягчить последствия, поэтому он вышел из строя и более или менее все наши дела был внизу. Они просмотрели кадры этой атаки и не верят, что наш IP адрес был подделан из-за ограниченного количества различных хостов нападение на них.

Это наш Linux-сервер, на котором размещено множество различных сервисов, подключенных к другим нашим внутренним серверам в инфраструктуре.

Мне нужно провести расследование и иметь возможность наблюдать за атакой, которая, вероятно, перегрузила сетевой адаптер источника. Поскольку исходное устройство является членом ботнет, который используется для многих атак, и я должен увидеть много других таинственные всплески исходящего трафика НО ПРОБЛЕМА:

У нас нет установленного мониторинга на этом сервере, поэтому я не могу отслеживать трафик, исходящий с сервера, поэтому вопрос в том:

Можно ли как-то отследить исходящий трафик, который атаковал клиентов нашего провайдера? в Linux? Любые команды, которые могли бы мне помочь? Может есть логи записаны?

У меня есть информация о последних метках времени (слева). Источник IP-адреса, протоколы и порты назначения. К сожалению, я не знаю, с чего начать, так как на этом сервере нет никакого мониторинга, и у меня нет больших знаний о Linux, так как я сейчас в отчаянии, и, конечно же, все должно произойти прямо перед Рождеством.

Любая информация будет любезно оценена.

РЕДАКТИРОВАТЬ: я использовал журналctl по заданной метке времени, и теперь я могу видеть что есть многочисленные попытки подключиться к ssh, но безуспешно, хотя один раз сеанс был открыт для пользователя root с заданным отклик:

CMD ( [ -x /usr/lib/php/sessionclean ] && /usr/lib/php/sessionclean)

После этого сессия для этого пользователя закрывается.

Кто-нибудь знает, о чем это должно означать?

Если вы не регистрировались в то время, у вас не будет подробностей. Конечно, не на уровне доказательств того, что ваш хост отправлял определенные потоки. В будущем рассмотрите возможность включения мониторинга и ведения журнала, например, включения ведения журнала новых подключений через брандмауэр.

Сделайте резервную копию плохо работающего хоста на случай, если вы проведете на нем экспертизу. Не предоставляйте (копии) этому хосту доступ к сети и никогда больше не предоставляйте ему доступ в Интернет. Вероятно, он скомпрометирован.

Уничтожить и восстановить хост из заведомо надежных источников. Например, установить свежую копию ОС. Восстановить данные из резервной копии.

В качестве дополнительной меры обратитесь за помощью в проведении подробного расследования основной причины того, как вы могли отправлять вредоносный трафик. Успешные входы по ssh, наличие вредоносного ПО, установленное программное обеспечение без исправлений безопасности, просмотрите потоки, описанные вашим хостинг-провайдером. Однако мы не можем помочь с деталями в этом формате вопросов и ответов.

Как правило, использование пропускной способности сети не регистрируется и не отслеживается на серверах Linux по умолчанию. Если вы не установили систему мониторинга раньше, у вас нет этих данных.