Узнать источник ddos атаки?

Question

tex620 @tex620

Узнать источник ddos атаки?

Заказал на сайте hetzner небольшую вдсочку, поставил на нее свой давний снапшот с игровыми серверами (rust), но возникла проблема, с моего сервера идет огромный поток запросов куда то в китай, предположительно, с моего хоста шла ддос атака, в следствие чего мой хост забанили.
Такая ситуация случилась 2 раза, я скачал весь снапшот к себе на комп.
Как можно найти по логам или поиску какая именно программа делала запросы, найти ее и удолить.
Еще есть 1 возможность, сервера раст принимают плагины в формате. cs (c# source)
возможно что подобный механизм зашит туда.
Заранее спасибо за ответ.

Вопрос задан более трёх лет назад
2622 просмотра

9 комментариев

Подписаться 2 Средний 9 комментариев

Дмитрий Кузнецов @dima9595

Мб вы скачали какой-то плагин с зашитым в него DDOS атакой.

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Дмитрий Кузнецов, я так и написал, вопрос в том как его найти

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Дмитрий Кузнецов, там овер 40 плагинов, каждый строк по 400

Написано более трёх лет назад
Дмитрий Кузнецов @dima9595

tex620, только вручную. Как ещё один вариант (не совсем простой) искать отдельно инфу по каждому плагину. Мб где-то знаете о подобной проблеме.

Написано более трёх лет назад
Gansterito @Gansterito

Запустите в песочнице, дождитесь начала атаки и ищите.
Если код в cs-файле, то он скорее всего обфусцирован. Может быть есть смысл скопировать плагины и натравить на них антивирус - ему может не понравится эта обфускация и он сработает.

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Gansterito, Дмитрий Кузнецов, не факт что идет именно с плагинов, начнем с того, как узнать какая програмка шлет запросы, типа сислога есть аналог для сети?

Написано более трёх лет назад
Gansterito @Gansterito

tex620, netstat -apn покажет все сокеты, в том числе TCP/UDP соединения, и процесс, их создавший.
Если трафик гонится через raw-сокеты, будет чуть сложней.

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Gansterito, если сокеты уже закрыты, можно посмотреть историю их создания?

Написано более трёх лет назад
Gansterito @Gansterito

tex620, нет, если не делалось никаких доп. настроек, типа, логирование в iptables всех пакетов и т.п.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Hi-TECH Academy

L101 Администрирование Linux. Базовый курс

5 дней

Далее
Skillfactory

Профессия C++ разработчик

11 месяцев

Далее
Хекслет

Fullstack-разработчик на Node.js

16 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Windows

+1 ещё

Простой
Сбивается время при переключении ОС?
- 3 подписчика
- вчера
- 237 просмотров
4

ответа
Ubuntu

+2 ещё

Средний
Как правильно установить скрипт туннеля 6in4 на Ubuntu 20?
- 1 подписчик
- 17 дек.
- 169 просмотров
1

ответ
Ubuntu

+2 ещё

Средний
Кто сталкивался с 'Nginx invalid URL prefix' и 'Promtail client version too old' после обновления Docker на Ubuntu 24.04?
- 1 подписчик
- 13 дек.
- 160 просмотров
0

ответов
Ubuntu

Простой
Есть ли программа очистки для сервера Ubuntu?
- 1 подписчик
- 07 дек.
- 257 просмотров
5

ответов
Ubuntu

+2 ещё

Простой
Размытый шрифт в webstorm и vscode?
- 2 подписчика
- 06 дек.
- 367 просмотров
1

ответ
Ubuntu

Простой
Как добавить в файл ответов установщика убунты несколько целевых дисков?
- 2 подписчика
- 28 нояб.
- 172 просмотра
1

ответ
Ubuntu

+1 ещё

Средний
XRay Reality || Почему некоторые видео или шортсы работают как-то «криво»?
- 2 подписчика
- 26 нояб.
- 717 просмотров
0

ответов
Веб-разработка

+1 ещё

Простой
Подойдет ли desktop-ubuntu для разворачивания web- сервера?
- 2 подписчика
- 25 нояб.
- 647 просмотров
5

ответов
Ubuntu

+2 ещё

Простой
Кривое отображение программ ubuntu на 2k мониторе?
- 1 подписчик
- 22 нояб.
- 158 просмотров
0

ответов
Разработка игр

+1 ещё

Средний
Как защитить игровой сервер на Linux от ддос атак?
- 1 подписчик
- 22 нояб.
- 190 просмотров
3

ответа
Показать ещё Загружается…

Backend-разработчик

Кинокадр

До 300 000 ₽

DevOps Junior

Principal Recruitment • Москва

от 200 000 до 250 000 ₽

DevOps Инженер

Principal Recruitment • Москва

от 200 000 до 350 000 ₽

Мб вы скачали какой-то плагин с зашитым в него DDOS атакой.
Дмитрий Кузнецов, я так и написал, вопрос в том как его найти
Дмитрий Кузнецов, там овер 40 плагинов, каждый строк по 400
tex620, только вручную. Как ещё один вариант (не совсем простой) искать отдельно инфу по каждому плагину. Мб где-то знаете о подобной проблеме.
Запустите в песочнице, дождитесь начала атаки и ищите.
Если код в cs-файле, то он скорее всего обфусцирован. Может быть есть смысл скопировать плагины и натравить на них антивирус - ему может не понравится эта обфускация и он сработает.
Gansterito, Дмитрий Кузнецов, не факт что идет именно с плагинов, начнем с того, как узнать какая програмка шлет запросы, типа сислога есть аналог для сети?
tex620, netstat -apn покажет все сокеты, в том числе TCP/UDP соединения, и процесс, их создавший.
Если трафик гонится через raw-сокеты, будет чуть сложней.
Gansterito, если сокеты уже закрыты, можно посмотреть историю их создания?
tex620, нет, если не делалось никаких доп. настроек, типа, логирование в iptables всех пакетов и т.п.

Answer 1 · 2018-11-08 09:14:25

Такая ситуация случилась 2 раза, я скачал весь снапшот к себе на комп.
Как можно найти по логам или поиску какая именно программа делала запросы, найти ее и удолить.

Запустить на своем компе и просканить wireshark например.

Узнать источник ddos атаки?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт