Блокировка за неопознанный исходящий трафик Digital Ocean?

Question

[Степан]

Заблокировали дроплет, за то что есть куча трафика исходящего. Прислали какой то tcpdump
И говорят сносите все к чертям, так будет проще, но там куча настроек, поэтому не хотелось бы этого делать.

С чего начать расследование?
Хотябы понять это пиролжение отправляет или вирус на ubuntu. Как это понять?

Answer 1

[Пума Тайланд]

наймите админа если сами не хотите разбираться

Comments

[Руслан Федосеев]

да да, я подпишусь. меня можно, мне как раз скучно ;)

[Пума Тайланд]

ну логично же что если у вас хорошие пароли на ссх то в систему злоумышленник не попал и все идет через скрипты, идете в папку со скриптами и смотрите какие самые свежие и анализируете их
а если на ссх были хреновые пароли то идете и чистите систему, но это так сложно и долно сказать честно если злоумышленник озадачился и положил какой то кастомный и хитрый пирожок который хрен найдешь если у тебя нет образа чистой системы с которым можно все сравнить

Answer 2

[Spetros]

Блокировка за неопознанный исходящий трафик Digital Ocean?

Да.

С чего начать расследование?

Предоставить максимум информации о проблеме. Для начала разобраться с tcpdump.

Как это понять?

Озадачить админа и спросить у него.

Comments

[Даша]

@Spetros

И вот таких Frame 19 штук:

Frame 1: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on interface 0
Interface id: 0
Encapsulation type: Ethernet (1)
Arrival Time: Nov 16, 2015 06:07:08.481477000 UTC
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1447654028.481477000 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 66 bytes (528 bits)
Capture Length: 66 bytes (528 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ip:tcp]
Ethernet II, Src: 84:b5:9c:fa:10:30 (84:b5:9c:fa:10:30), Dst: 04:01:70:64:92:01 (04:01:70:64:92:01)
Destination: 04:01:70:64:92:01 (04:01:70:64:92:01)
Address: 04:01:70:64:92:01 (04:01:70:64:92:01)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: 84:b5:9c:fa:10:30 (84:b5:9c:fa:10:30)
Address: 84:b5:9c:fa:10:30 (84:b5:9c:fa:10:30)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: IP (0x0800)
Internet Protocol Version 4, Src: 43.229.53.21 (43.229.53.21), Dst: 188.166.15.31 (188.166.15.31)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00)
Total Length: 52
Identification: 0x2078 (8312)
Flags: 0x02 (Don't Fragment)
0... .... = Reserved bit: Not set
.1.. .... = Don't fragment: Set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 54
Protocol: TCP (6)
Header checksum: 0xf78c [validation disabled]
[Good: False]
[Bad: False]
Source: 43.229.53.21 (43.229.53.21)
Destination: 188.166.15.31 (188.166.15.31)
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
Transmission Control Protocol, Src Port: 11413 (11413), Dst Port: 22 (22), Seq: 1, Ack: 1, Len: 0
Source port: 11413 (11413)
Destination port: 22 (22)
[Stream index: 0]
Sequence number: 1 (relative sequence number)
Acknowledgment number: 1 (relative ack number)
Header length: 32 bytes
Flags: 0x010 (ACK)
000. .... .... = Reserved: Not set
...0 .... .... = Nonce: Not set
.... 0... .... = Congestion Window Reduced (CWR): Not set
.... .0.. .... = ECN-Echo: Not set
.... ..0. .... = Urgent: Not set
.... ...1 .... = Acknowledgment: Set
.... .... 0... = Push: Not set
.... .... .0.. = Reset: Not set
.... .... ..0. = Syn: Not set
.... .... ...0 = Fin: Not set
Window size value: 229
[Calculated window size: 229]
[Window size scaling factor: -1 (unknown)]
Checksum: 0x460c [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps
No-Operation (NOP)
Type: 1
0... .... = Copy on fragmentation: No
.00. .... = Class: Control (0)
...0 0001 = Number: No-Operation (NOP) (1)
No-Operation (NOP)
Type: 1
0... .... = Copy on fragmentation: No
.00. .... = Class: Control (0)
...0 0001 = Number: No-Operation (NOP) (1)
Timestamps: TSval 12594167, TSecr 572535019
Kind: Timestamp (8)
Length: 10
Timestamp value: 12594167
Timestamp echo reply: 572535019

0000 04 01 70 64 92 01 84 b5 9c fa 10 30 08 00 45 00 ..pd.......0..E.
0010 00 34 20 78 40 00 36 06 f7 8c 2b e5 35 15 bc a6 .4 x@.6...+.5...
0020 0f 1f 2c 95 00 16 e5 ab 0b fa dd 65 87 93 80 10 ..,........e....
0030 00 e5 46 0c 00 00 01 01 08 0a 00 c0 2b f7 22 20 ..F.........+.\"
0040 30 eb 0.

[Степан]

mace-ftl

[Spetros]

Даша:

...
Source: 43.229.53.21 (43.229.53.21)
Destination: 188.166.15.31 (188.166.15.31)
...
Destination port: 22 (22)

Этот пакет был отправлен из одного из районов Гонконга к вашему серверу.
Из этого можно сделать вывод о том, что кто-то стучался к вашему SSH.

[Даша]

да, проверила /var/logs/auth.log, там куча попыток подключения. Проверила сервер rkhunter-ом, выдает кучу предупреждений, я так думаю что действительно лучше на новом дроплете развернуть приложение, так быстрее будет. Но как обезопасить на будущее себя от такого?
Перечитав кучу инфы поняла что это : настройка файрвола, установка fail2ban, использование ключей вместо паролей при соединении по ssh. Вот только не знаю, стоит ли менять 22 порт или лучше доступ по паролю запретить а оставить только доступ по ключу?
И еще способы защиты, если знаете, подскажите

[Пума Тайланд]

Даша: 1) фаер не спасет
2) чисто приблуда для того чтобы логи были почище и чуть сложнее было перебирать пасы
3) доступ только по ключам наверно самый действенный способ
4)перенос ссх на другой порт вскрывается одним сканом нмапа и защита от школьников.

[MefistofelKr]

Пума Тайланд: это если целенаправленная атака, а если бот атака, то для ускорения работы они nmap не юзают, а сразу определенные порты стучат, с nmapom он атаку вечнлсть делал бы

[Пума Тайланд]

MefistofelKr: да нмап подключить это две строчки в скрипте

[Даша]

Пума Тайланд а что еще можно сделать?

[Пума Тайланд]

Даша: я вообще никак не защищаю , сложного длинного неповторяющегося пароля для меня достаточно, за 10 лет и тысячи серверов ни одного взлома по ссх.
по сути это детские игры а не защита

[MefistofelKr]

Пума Тайланд: две строчки в коде, но увеличения времени работы

[Пума Тайланд]

MefistofelKr: ну будет на минуту больше, с учетом что это автоматическая работа вообще пофигу.