Как определить DoS-атаку с виртульного сервера?

Question

[Николай]

Добрый день.
Подскажите, пожалуйста, по такому вопросу.
Установил у провайдера виртуальный сервер, поставил туда ubuntu 14.04, установил и настроил rails, поднял приложение.

Сегодня провайдер написал, что отключил сетевой интерфейс сервера, так как обнаружил подозрительную сетевую активность:

==
==
IP address:
Port:
Protocol:
===
IP 180.00.16.8.52602 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.54855 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019
IP 180.00.16.8.45276 > 183.60.216.208.8080: UDP, length 1019

Возможно ли определить, как проникли и стали DoS атаки проводить с моего сервера (180.00.16.8)?
Как исправить это проблему?

p.s. я новичок в этом вопросе, можно дать ссылку что почитать об этом, как выявить, как защититься.

Comments

[Станислав Макаров]

Вы арендовали сервак у японского провайдера? Сильно)

[Николай]

А если бы заменил ip в выводе на 127.0.0.1, то что бы вы посоветовали?))

Answer 1

[Василий]

Ну теоретически возможно. Но нужны логи и как можно больше. За период от первого запуска до обнаружения подозрительной активности. Боюсь, с такими вопросами вам лучше идти на ЛОР (linux.org.ru). Местный формат не очень подходит.
Можете попробовать определить сами. В любом случае, вы должны знать, какие коннекты, откуда и/или куда должны направляться на/с сервера. По каким портам и протоколам. Исходя из этих знаний можно поискать сетевую активность. Все доступы на любой сервер должны быть строго регламентированы. Например, доступ только по SSH, только с конкретного компа. Если веб сервер, открываем 80,443. Остальные должны быть закрыты.
В общем, требуется сузить поиски. И на будущее. Не надо использовать юзерскую ОСь для сервера. Если уж вам обязательно использовать именно линейку deb, то используйте Debian. А лучше CentOS, RHEL.

Comments

[Николай]

Понятно, спасибо. Буду дальше копать (настройки firewall и тп), или как предложила служба поддержки провайдера - переустановка оси))