Почему сервер производит атаку на 80 порт?

Question

[Z0nd0R]

Доброго времени суток!

Получил от хетзнера "письмо счастья".

В кратце, письмо о том, что с моего сервера идет атака. Сервер отправлял запросы на 80 порт на две подсети, по крайней мере в том отрывке лога что был прислан.

----- attachment -----

##########################################################################
#               Netscan detected from host   xxx.xxx.xxx.xxx               #
##########################################################################

time                protocol src_ip src_port          dest_ip dest_port
---------------------------------------------------------------------------
Wed Dec  4 21:22:24 2013 TCP   xxx.xxx.xxx.xxx 8835  =>  yyy.yyy.yyy.yyy 80
Wed Dec  4 21:22:49 2013 TCP   xxx.xxx.xxx.xxx 28726 =>  yyy.yyy.yyy.yyy 80
Wed Dec  4 21:22:07 2013 TCP   xxx.xxx.xxx.xxx 15211 =>  yyy.yyy.yyy.yyy 80
Wed Dec  4 21:23:27 2013 TCP   xxx.xxx.xxx.xxx 34591 =>  yyy.yyy.yyy.yyy 80
Wed Dec  4 21:23:27 2013 TCP   xxx.xxx.xxx.xxx 34591 =>  yyy.yyy.yyy.yyy 80

Раньше с таким не приходилось сталкиваться. Подскажите варианты диагностики или может кто с таким сталкивался, если ли решения какие-нибудь?

Примерно недели две-три назад делал обновление программного обеспечения на сервере.

З.Ы. Поставил Rkhunter, прошел, ничего подозрительного не было, вроде.
З.Ы.Ы. Ось: CentOS 6.5, Сервер находится у Hetzner, подключен репозиторий атомик.

Благодарю заранее.

Answer 1

[pomeo]

Они атакой называют не то что вы думаете, у меня был случай

Здравствуйте!

К сожалению, вынуждены сообщить Вам, что на Ваш сервер x.x.x.x получена жалоба от Датацентра за атаку на внешние ресурсы.
Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.

Также Вы можете прибегнуть к помощи наших администраторов (в этом случае для наиболее оперативного решения сразу предоставьте root пароль к серверу прямо в этом тикете).

Обращаем внимание, что в случае отсутствия реакции на жалобу более 3х часов, Ваш сервер будет заблокирован во избежание блокировки сети Датацентром. Если Вы самостоятельно исправили проблему, обязательно уведомите об этом нас посредством ответа в этот тикет.

С подробностями жалобы Вы можете ознакомиться ниже.

Direction OUT
Internal x.x.x.x
Threshold Packets 30.000 packets/s
Sum 9.656.000 packets/300s (32.186 packets/s), 11 flows/300s (0 flows/s), 13,462 GByte/300s (367 MBit/s)

Только никакой атаки не было и ключевое здесь "Threshold Packets 30.000 packets/s" и мои "32.186 packets/s", была просто превышена сетевая планка и всё, никакой атаки.

Comments

[Z0nd0R]

Тут немного другая ситуация наверно. У меня в логе, в столбце dest_ip идет список IP адресов в котором последние два блока просто перебором идут т.е. yyy.yyy.212.011 и до yyy.yyy.213.254 и на 80 порт.

[pomeo]

Ну так снифер запустите и смотрите что конкретно у вас уходит. Если это сканер веб уязвимостей, по строке запроса вы это поймёте.

Answer 2

[bmkobzar]

очевидно, на Вашем сервере есть веб-сайты, фтп сервер, или какой то открытый порт или системный пользователь ссш с простым паролем.

варианты могут быть самые разные.

если на каком то пользователе слабый пароль, то боты со всего мира могли подобрать и что то положить на выполнение.
в качестве защиты можно поставить "denyhost" - у меня за день сотни айпишников в бан идут.

если есть какой то открытый порт для общения - настроить iptables или файрвол.
с консоли левого компа сделать "nmap xxx.xxx.xxx.xxx", где xxx.xxx.xxx.xxx - ип Вашего сервера. поможет выявить лишний смотрящий порт в мир

если стоит фпт на севере - проверить по логам, что кто клал на кануне "письма счастья"

если есть сайты клиентов на опенсорс цмс - проверить их, часто бывает что какой-нибудь вп или опенкарт ломают и заливают через них вредоносности.

потом можно проверить кронтабы всех пользователей на подозрительные штучки.

или поставить clamscan или maldet и проверить все на все.

Answer 3

[throughtheether]

Верить каждому автоматически генерированному письму при отсутствии других данных (дампы трафика и т.д.) считаю неконструктивным.
В случае, если это письмо первоначально создано владельцем адреса yyy.yyy.yyy.yyy, и только переслано вам автоматически, возможен следующий вариант.

Это может быть последствием SYN-флуда на сокет yyy.yyy.yyy.yyy:80 со спуфингом (подменой) адресов источников. Так могло совпасть, что был использован Ваш адрес. Чтобы полнее разобраться в ситуации, можно попросить администрацию Hetzner проанализировать flow-данные (netflow, sflow, смотря что они собирают) с целью уточнить :

а) наблюдался ли в указанное время tcp-трафик от вашего сервера (xxx.xxx.xxx.xxx) до атакуемого (yyy.yyy.yyy.yyy:80)

б) наблюдался ли в указанное время tcp-трафик от yyy.yyy.yyy.yyy:80 до xxx.xxx.xxx.xxx.

Если верно б), значит, скорее всего, атака имела место и атакуемый сервер отвечал SYN-ACK на ваши (или не ваши) SYN (это одна из возможностей). Если при этом а) неверно, имело место подмена адреса источника, вы не при чем. Если а) верно, то проблема или у вас на сервере, или в сети Hetzner (т.е. другой их клиент подделывал адреса источника, это возможно при определенных условиях).

Answer 4

[Влад Животнев]

Проверьте, что подозрительных процессов не запущено. Скорее всего, вас поломали (или один из ваших аккаунтов) и залили туда скрипт, который всем этим занимается. При этом, скрипт вполне себе может быть и обычным php-скриптом, так что можно access-логи посмотреть на предмет обращение к неизвестным вам урлам с кодом 200.

Comments

[Z0nd0R]

у меня был такой вариант. На сервере около 20 сайтов. Сайты которые у меня вызывали сомнения в плане безопасности отключил пока.