Как остановить ddos со своего сервера?

Question

[Даниил Вшивцев]

Дано: сервер с centos 7.3 с авторизацией по приватному ключу, установленная последняя VestaCP.

На сервере лежит один проект (доступ к которому ограничен по ip, за него не боюсь) и заброшенный блог на wordpress, который, если судить по логам запросов, и послужил причиной моих проблем (подбор пароля перебором).
Со вчерашнего утра в статистике хостера по использованию сети число отправленных пакетов превысило 600к за несколько минут ( график prntscr.com/j2re5n)

Сервер был заблокирован за outgoing flood. Все файлы блога я благополучно снес, но после запуска сервера отправка пакетов в таких же количествах продолжается, сервер блокируют за флуд вторично.

Отсюда вопрос. Какой порядок действий предпринимают в таких случаях? Как определить, почему сервер ведет себя таким образом и восстановить нормальную работу?

Answer 1

[Александр]

https://forum.vestacp.com/viewtopic.php?f=10&t=16556
https://forum.vestacp.com/viewtopic.php?f=10&t=16558
https://forum.vestacp.com/viewtopic.php?f=28&t=16555
VestaCP скомпроментирована. Причина в ней.
Народ указывает на /etc/cron.hourly/gcc.sh (XOR.DDoS) как вредоносную нагрузку.

Comments

[Даниил Вшивцев]

Да, вы правы. Все исправил. Решение по шагам тут и немного еще тут

Answer 2

[Moris Haos]

Привет,
1. Убрать всякие панели (Весты, СэПэ и т.п.) и рулить сервером из консоли, своевременно обновляя софт.
2. Нанять специалиста, который проведет необходимый аудит и приведет сервер в норму.

Писать тут все то, что будет делать специалист - очень долго.

Comments

[Sanes]

Вспотеешь вручную настраивать до приемлевого уровня.