Как проверить Ubuntu сервер на подозрительную активность?

Question

[Pavel]

Проблема состоит в том,что при попытке зайти на один информационный сайт получил 403.Позвонил своему провайдеру,те сказали, что дескать блокировки у них не стоит и скорее всего сайт забанил мой ip.У меня подключён внешний ip и стоит Ubuntu server На стареньком ноуте с парой,тройкой,пятью сервисами на нём,который смотрят в открытый интернет. Поэтому у меня появилось подозрение что возможно мой сервачок стал узлом какого нибудь бот нета,а я даже и не в курсе,расскажите,какие есть средства для проверки?В какие логи мне там можно залезть?
Доп. инфо:
SSH порт для подключения к серверу открыт,но авторизация возможна только по ключу,без логина пароля.

Answer 1

[Сергей]

Проверьте сначала, для Вас ли заблочен сайт или для всех. Попробуйте сделать это на одном из сайтов:
downforeveryoneorjustme.com
cameleo.ru

Затем стоит проверить систему различными сканерами руткитов и антивирусами:
chkrootkit
rootcheck
rkhunter
clamav

посмотреть открытые порты в системе, есть ли они:
netstat -anltp | grep "LISTEN"

Еще я как-то писал свой баш скриптик, который позволяет делать мониторинг уровня б, следить за портами, новыми юзерами, новыми пакетами:
https://github.com/ADMINICANA/ubuntu-server-daily-...

Хорошо бы просто посмотреть трафик, сделав tcpdump, какая активность идет, если ее быть не должно - насторожиться. Посмотреть разные логи, history юзеров.

Comments

[Pavel]

ну cameleo.ru так же показывает 403....что слегка успокаивает.

[Сергей]

Павел Тананыхин: значит отвалился удаленный сайтик. Нет поводов волноваться.

[Pavel]

Сергей Илларионов: через tor он работает

[Pavel]

Сергей Илларионов: если бы и через тор он не работал,я бы не волновался))

[Pavel]

Сергей Илларионов: он с работы даже запускается,а вот с моего домашнего компа нет

[Сергей]

Сайт может блочить по региону просто, если его однажды ддосили. Что за сайт?

[Pavel]

Сергей Илларионов: techradar.com ..Да ищу себе почтовый клиент,гугл показал что там есть подборочка ссылок на них,пошёл смотреть а получил 403...

[Сергей]

Павел Тананыхин: У меня открылся. Попробуй посмотреть, что у тебя в /etc/hosts нет ли редиректа по этому сайту? Затем пропиши в этом же файле айпи адрес этого сайта для их же домена, если после этого зайдешь легко, значит проблема в днс. Либо в твоем конфиге, либо их кто-то подменил. Попробуй заюзать гугловские, если все ок - можно раслабиться на 50%. Потому что явно нездоровая херня у тебя происходит.

[Сергей]

Я тебе выслал инвайт в linuxstar.slack.com на почту, что у тебя в профиле. Можно там пообщаться на тему, попробовать выявить проблему. Там еще есть люди компетентные.

[Pavel]

Сергей Илларионов: спасибо.У меня теперь подозрения что дело не в сервере,а возможно в "домашнем" рабочем компе...С виндой может быть косяки какие нибудь

[Сергей]

>С виндой
Уже пора ставить линукс и на домашний пк

[Pavel]

Сергей Илларионов: не могу отказать себе в удовольствии игр.Плюс сейчас курсы прохожу по с++,там на visual studio учат.Очень удобная IDE,да и есть пару софтин которые всё таки на винде лучше)))Но на домашнем рабочем компе линукс стоит как вторая система.

[Pavel]

Сергей Илларионов: и да,проверил на линуксе через браузер - сайт открывается.Проблема с виндой.почему то не пускает из винды на этот сайт.Буду искать

[Алексей Грин]

Павел Тананыхин: А почему бы не замутить дуалбут? Очень удобно, сам играю под окнами, а работаю под Arch

[Pavel]

Алексей Грин: "Но на домашнем рабочем компе линукс стоит как вторая система. "У меня и стоит дуалбут))с загрузки либо винда либо убунта.

[Pavel]

Алексей Грин: но всё же линуксом чаще на ноуте пользуюсь

[Алексей Грин]

Павел Тананыхин: Прошу прощения, невнимательно читал. А насчет линукса, у меня помимо арча на компе, есть ещё и минисервер дома. Там в основном эксперименты всякие и проекты. Очень удобно тестировать что-либо.

[Pavel]

Алексей Грин: тестирую в виртуалке,а прод. выкладываю на свой сервер в виде ноутбука на подоконнике,который на убунту сервер 14.04.3 крутит 24/7)))