Как остановить исходящий флуд с моего сервера?

Question

[machno]

Имеется VPS на digitalocean, внезапно ночью он упал. С утра я об этом узнаю, из поддержки приходит сообщение, что от моего сервера исходило больно много траффика и они ему перекрыли интернеты.

Коннекчусь к ssh и вижу вот это вот:

Как починить - ума не приложу. Выручайте

Answer 1

[Сергей Петриков]

Первое это блокируем на фаирволе весь трафик кроме того IP с которого заходите вы, второе прогоняем стандартные проверки на руткиты например через rkhunter, если ничего прогоняем проверку на вирусню тем же ClamAV, если снова ничего смотрим подозрительные процессы, особенно обращаем внимание на те что в верху iftop. Если тыкать пальцем в небо то можно предположить, что ваш сервер принимал участие в одной из Amplification атак и трафик генерил либо DNS либо NTP - их проверяем в первую очередь. Да и настройте фаирвол.

Answer 2

[Salavat Sharapov]

Все говорят что это уязвимость Elasticsearch.
Вот тут типа пример скрипта, который "типа" очищает IptableX.

#!/bin/sh

# remove malware
rm -f /boot/Ip*
rm -f /boot/.Ip*
rm -f /boot/..Ip*
rm -f /usr/.Ip*
rm -f /tmp/29*
rm -f /.my*
rm -f /etc/rc2.d/S55Ip*
rm -f /etc/rc3.d/S55Ip*
rm -f /etc/rc4.d/S55Ip*
rm -f /etc/rc5.d/S55Ip*
rm -f /var/lib/update-rc.d/IptabLex
rm -f /markus/tomee/bin/getsetup*

# block IPs in firewall
iptables -P INPUT ACCEPT
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -s 222.184.0.0/16 -j DROP
iptables -I INPUT -s 222.185.0.0/16 -j DROP
iptables -I INPUT -s 222.186.0.0/16 -j DROP
iptables -I INPUT -s 222.187.0.0/16 -j DROP
iptables -I INPUT -s 222.188.0.0/16 -j DROP
iptables -I INPUT -s 222.189.0.0/16 -j DROP
iptables -I INPUT -s 222.190.0.0/16 -j DROP
iptables -I INPUT -s 222.191.0.0/16 -j DROP
iptables -I INPUT -s 59.0.0.0/8 -j DROP
iptables -I INPUT -s 119.0.0.0/8 -j DROP
iptables -I INPUT -s 162.221.12.0/22 -j DROP
iptables -I INPUT -s 218.0.0.0/8 -j DROP
iptables -I INPUT -s 23.239.192.0/19 -j DROP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 64344 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 81 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -I OUTPUT -d 222.184.0.0/16 -j DROP
iptables -I OUTPUT -d 222.185.0.0/16 -j DROP
iptables -I OUTPUT -d 222.186.0.0/16 -j DROP
iptables -I OUTPUT -d 222.187.0.0/16 -j DROP
iptables -I OUTPUT -d 222.188.0.0/16 -j DROP
iptables -I OUTPUT -d 222.189.0.0/16 -j DROP
iptables -I OUTPUT -d 222.190.0.0/16 -j DROP
iptables -I OUTPUT -d 222.191.0.0/16 -j DROP
iptables -I OUTPUT -d 59.0.0.0/8 -j DROP
iptables -I OUTPUT -d 119.0.0.0/8 -j DROP
iptables -I OUTPUT -d 162.221.12.0/22 -j DROP
iptables -I OUTPUT -d 218.0.0.0/8 -j DROP
iptables -I OUTPUT -d 23.239.192.0/19 -j DROP
iptables -P OUTPUT ACCEPT
iptables -L -v -n

Этот скрипт только удаляет файлы IptableX, но никак не очищает систему полностью от руткита. На свой страх и риск.
Потом обязательно надо будет закрыть порт Elasticsearch, или откатиться к более поздней версии.

А лучше вообще переставить систему с резерва, потому что от руткитов очень сложно избаваиться.

Comments

[Salavat Sharapov]

www.developersonthe.net/ru/posts/post_id/57-Istori... - вот опыт одного из админов.

[machno]

@desperadik Если бы я увидел вашу ссылку ранее - не пришлось бы переустанавливать ОС на сервере. Спасибо.

[machno]

@desperadik Я к тому что у меня тоже в /boot оказались iptables и iptablex

[Salavat Sharapov]

@machno тогда в решение.