Задать вопрос

Почему сервер производит атаку на 80 порт?

Доброго времени суток!

Получил от хетзнера "письмо счастья".

В кратце, письмо о том, что с моего сервера идет атака. Сервер отправлял запросы на 80 порт на две подсети, по крайней мере в том отрывке лога что был прислан.

----- attachment -----

##########################################################################
#               Netscan detected from host   xxx.xxx.xxx.xxx               #
##########################################################################

time                protocol src_ip src_port          dest_ip dest_port
---------------------------------------------------------------------------
Wed Dec  4 21:22:24 2013 TCP   xxx.xxx.xxx.xxx 8835  =>  yyy.yyy.yyy.yyy 80
Wed Dec  4 21:22:49 2013 TCP   xxx.xxx.xxx.xxx 28726 =>  yyy.yyy.yyy.yyy 80
Wed Dec  4 21:22:07 2013 TCP   xxx.xxx.xxx.xxx 15211 =>  yyy.yyy.yyy.yyy 80
Wed Dec  4 21:23:27 2013 TCP   xxx.xxx.xxx.xxx 34591 =>  yyy.yyy.yyy.yyy 80
Wed Dec  4 21:23:27 2013 TCP   xxx.xxx.xxx.xxx 34591 =>  yyy.yyy.yyy.yyy 80


Раньше с таким не приходилось сталкиваться. Подскажите варианты диагностики или может кто с таким сталкивался, если ли решения какие-нибудь?

Примерно недели две-три назад делал обновление программного обеспечения на сервере.

З.Ы. Поставил Rkhunter, прошел, ничего подозрительного не было, вроде.
З.Ы.Ы. Ось: CentOS 6.5, Сервер находится у Hetzner, подключен репозиторий атомик.

Благодарю заранее.
  • Вопрос задан
  • 4413 просмотров
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
pomeo
@pomeo
Они атакой называют не то что вы думаете, у меня был случай
Здравствуйте!

К сожалению, вынуждены сообщить Вам, что на Ваш сервер x.x.x.x получена жалоба от Датацентра за атаку на внешние ресурсы.
Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.

Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).

Обращаем внимание, что в случае отсутствия реакции на жалобу более 3х часов, Ваш сервер будет заблокирован во избежание блокировки сети Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет.

С подробностями жалобы Вы можете ознакомиться ниже.

Direction OUT
Internal x.x.x.x
Threshold Packets 30.000 packets/s
Sum 9.656.000 packets/300s (32.186 packets/s), 11 flows/300s (0 flows/s), 13,462 GByte/300s (367 MBit/s)

Только никакой атаки не было и ключевое здесь "Threshold Packets 30.000 packets/s" и мои "32.186 packets/s", была просто превышена сетевая планка и всё, никакой атаки.
Ответ написан
bmkobzar
@bmkobzar
очевидно, на Вашем сервере есть веб-сайты, фтп сервер, или какой то открытый порт или системный пользователь ссш с простым паролем.

варианты могут быть самые разные.

если на каком то пользователе слабый пароль, то боты со всего мира могли подобрать и что то положить на выполнение.
в качестве защиты можно поставить "denyhost" - у меня за день сотни айпишников в бан идут.

если есть какой то открытый порт для общения - настроить iptables или файрвол.
с консоли левого компа сделать "nmap xxx.xxx.xxx.xxx", где xxx.xxx.xxx.xxx - ип Вашего сервера. поможет выявить лишний смотрящий порт в мир

если стоит фпт на севере - проверить по логам, что кто клал на кануне "письма счастья"

если есть сайты клиентов на опенсорс цмс - проверить их, часто бывает что какой-нибудь вп или опенкарт ломают и заливают через них вредоносности.

потом можно проверить кронтабы всех пользователей на подозрительные штучки.

или поставить clamscan или maldet и проверить все на все.
Ответ написан
Комментировать
@throughtheether
human after all
Верить каждому автоматически генерированному письму при отсутствии других данных (дампы трафика и т.д.) считаю неконструктивным.
В случае, если это письмо первоначально создано владельцем адреса yyy.yyy.yyy.yyy, и только переслано вам автоматически, возможен следующий вариант.

Это может быть последствием SYN-флуда на сокет yyy.yyy.yyy.yyy:80 со спуфингом (подменой) адресов источников. Так могло совпасть, что был использован Ваш адрес. Чтобы полнее разобраться в ситуации, можно попросить администрацию Hetzner проанализировать flow-данные (netflow, sflow, смотря что они собирают) с целью уточнить :

а) наблюдался ли в указанное время tcp-трафик от вашего сервера (xxx.xxx.xxx.xxx) до атакуемого (yyy.yyy.yyy.yyy:80)

б) наблюдался ли в указанное время tcp-трафик от yyy.yyy.yyy.yyy:80 до xxx.xxx.xxx.xxx.

Если верно б), значит, скорее всего, атака имела место и атакуемый сервер отвечал SYN-ACK на ваши (или не ваши) SYN (это одна из возможностей). Если при этом а) неверно, имело место подмена адреса источника, вы не при чем. Если а) верно, то проблема или у вас на сервере, или в сети Hetzner (т.е. другой их клиент подделывал адреса источника, это возможно при определенных условиях).
Ответ написан
Комментировать
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
Проверьте, что подозрительных процессов не запущено. Скорее всего, вас поломали (или один из ваших аккаунтов) и залили туда скрипт, который всем этим занимается. При этом, скрипт вполне себе может быть и обычным php-скриптом, так что можно access-логи посмотреть на предмет обращение к неизвестным вам урлам с кодом 200.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы