Задать вопрос

Как остановить исходящий флуд с моего сервера?

Имеется VPS на digitalocean, внезапно ночью он упал. С утра я об этом узнаю, из поддержки приходит сообщение, что от моего сервера исходило больно много траффика и они ему перекрыли интернеты.

Коннекчусь к ssh и вижу вот это вот:fb901b5ab5e4429592bc4f0a64eb48fc.PNG

Как починить - ума не приложу. Выручайте
  • Вопрос задан
  • 3196 просмотров
Подписаться 4 Оценить Комментировать
Решения вопроса 1
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
Первое это блокируем на фаирволе весь трафик кроме того IP с которого заходите вы, второе прогоняем стандартные проверки на руткиты например через rkhunter, если ничего прогоняем проверку на вирусню тем же ClamAV, если снова ничего смотрим подозрительные процессы, особенно обращаем внимание на те что в верху iftop. Если тыкать пальцем в небо то можно предположить, что ваш сервер принимал участие в одной из Amplification атак и трафик генерил либо DNS либо NTP - их проверяем в первую очередь. Да и настройте фаирвол.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
desperadik
@desperadik
Истина где-то рядом.
Все говорят что это уязвимость Elasticsearch.
Вот тут типа пример скрипта, который "типа" очищает IptableX.

#!/bin/sh

# remove malware
rm -f /boot/Ip*
rm -f /boot/.Ip*
rm -f /boot/..Ip*
rm -f /usr/.Ip*
rm -f /tmp/29*
rm -f /.my*
rm -f /etc/rc2.d/S55Ip*
rm -f /etc/rc3.d/S55Ip*
rm -f /etc/rc4.d/S55Ip*
rm -f /etc/rc5.d/S55Ip*
rm -f /var/lib/update-rc.d/IptabLex
rm -f /markus/tomee/bin/getsetup*

# block IPs in firewall
iptables -P INPUT ACCEPT
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -s 222.184.0.0/16 -j DROP
iptables -I INPUT -s 222.185.0.0/16 -j DROP
iptables -I INPUT -s 222.186.0.0/16 -j DROP
iptables -I INPUT -s 222.187.0.0/16 -j DROP
iptables -I INPUT -s 222.188.0.0/16 -j DROP
iptables -I INPUT -s 222.189.0.0/16 -j DROP
iptables -I INPUT -s 222.190.0.0/16 -j DROP
iptables -I INPUT -s 222.191.0.0/16 -j DROP
iptables -I INPUT -s 59.0.0.0/8 -j DROP
iptables -I INPUT -s 119.0.0.0/8 -j DROP
iptables -I INPUT -s 162.221.12.0/22 -j DROP
iptables -I INPUT -s 218.0.0.0/8 -j DROP
iptables -I INPUT -s 23.239.192.0/19 -j DROP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 64344 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 81 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -I OUTPUT -d 222.184.0.0/16 -j DROP
iptables -I OUTPUT -d 222.185.0.0/16 -j DROP
iptables -I OUTPUT -d 222.186.0.0/16 -j DROP
iptables -I OUTPUT -d 222.187.0.0/16 -j DROP
iptables -I OUTPUT -d 222.188.0.0/16 -j DROP
iptables -I OUTPUT -d 222.189.0.0/16 -j DROP
iptables -I OUTPUT -d 222.190.0.0/16 -j DROP
iptables -I OUTPUT -d 222.191.0.0/16 -j DROP
iptables -I OUTPUT -d 59.0.0.0/8 -j DROP
iptables -I OUTPUT -d 119.0.0.0/8 -j DROP
iptables -I OUTPUT -d 162.221.12.0/22 -j DROP
iptables -I OUTPUT -d 218.0.0.0/8 -j DROP
iptables -I OUTPUT -d 23.239.192.0/19 -j DROP
iptables -P OUTPUT ACCEPT
iptables -L -v -n


Этот скрипт только удаляет файлы IptableX, но никак не очищает систему полностью от руткита. На свой страх и риск.
Потом обязательно надо будет закрыть порт Elasticsearch, или откатиться к более поздней версии.

А лучше вообще переставить систему с резерва, потому что от руткитов очень сложно избаваиться.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
22 дек. 2024, в 20:40
10000 руб./за проект
22 дек. 2024, в 20:34
3000 руб./за проект
22 дек. 2024, в 20:12
10000 руб./за проект