Узнать источник ddos атаки?

Question

tex620 @tex620

Узнать источник ddos атаки?

Заказал на сайте hetzner небольшую вдсочку, поставил на нее свой давний снапшот с игровыми серверами (rust), но возникла проблема, с моего сервера идет огромный поток запросов куда то в китай, предположительно, с моего хоста шла ддос атака, в следствие чего мой хост забанили.
Такая ситуация случилась 2 раза, я скачал весь снапшот к себе на комп.
Как можно найти по логам или поиску какая именно программа делала запросы, найти ее и удолить.
Еще есть 1 возможность, сервера раст принимают плагины в формате. cs (c# source)
возможно что подобный механизм зашит туда.
Заранее спасибо за ответ.

Вопрос задан более трёх лет назад
2618 просмотров

9 комментариев

Подписаться 2 Средний 9 комментариев

Дмитрий Кузнецов @dima9595

Мб вы скачали какой-то плагин с зашитым в него DDOS атакой.

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Дмитрий Кузнецов, я так и написал, вопрос в том как его найти

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Дмитрий Кузнецов, там овер 40 плагинов, каждый строк по 400

Написано более трёх лет назад
Дмитрий Кузнецов @dima9595

tex620, только вручную. Как ещё один вариант (не совсем простой) искать отдельно инфу по каждому плагину. Мб где-то знаете о подобной проблеме.

Написано более трёх лет назад
Gansterito @Gansterito

Запустите в песочнице, дождитесь начала атаки и ищите.
Если код в cs-файле, то он скорее всего обфусцирован. Может быть есть смысл скопировать плагины и натравить на них антивирус - ему может не понравится эта обфускация и он сработает.

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Gansterito, Дмитрий Кузнецов, не факт что идет именно с плагинов, начнем с того, как узнать какая програмка шлет запросы, типа сислога есть аналог для сети?

Написано более трёх лет назад
Gansterito @Gansterito

tex620, netstat -apn покажет все сокеты, в том числе TCP/UDP соединения, и процесс, их создавший.
Если трафик гонится через raw-сокеты, будет чуть сложней.

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Gansterito, если сокеты уже закрыты, можно посмотреть историю их создания?

Написано более трёх лет назад
Gansterito @Gansterito

tex620, нет, если не делалось никаких доп. настроек, типа, логирование в iptables всех пакетов и т.п.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Учебный центр «Микротест»

Linux уровень 1. Основы администрирования систем Linux (Линукс)

1 неделя

Далее
Учебный центр «Микротест»

Linux уровень 2. Расширенное администрирование систем Linux (Линукс)

1 неделя

Далее
teamcoding

TC200PY Разработка PHP веб-приложений на Yii2. Шаблон приложения advanced

3 месяца

Далее

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Сетевое оборудование

+1 ещё

Простой
NGFW защитит от L3/L4 ddos?
- 1 подписчик
- 15 часов назад
- 176 просмотров
2

ответа
Linux

+1 ещё

Средний
Почему Linux Ubuntu после установки не запускается без загрузочной флешки?
- 2 подписчика
- вчера
- 198 просмотров
2

ответа
Linux

+2 ещё

Простой
Как настроить Matrix Synapse сервер, чтобы работал клиент Element X (Element подключается)?
- 1 подписчик
- 17 окт.
- 132 просмотра
1

ответ
Ubuntu

+1 ещё

Средний
Как исправить кривое отображение файлов ipynb в Pycharm на Ubuntu 24.04 при прокрутке?
- 1 подписчик
- 09 окт.
- 107 просмотров
0

ответов
Ubuntu

Средний
Как создать несколько копий проги 3proxy на vps ubuntu?
- 1 подписчик
- 08 окт.
- 201 просмотр
1

ответ
Ubuntu

+1 ещё

Простой
Почему после обновления Ubuntu не находит сервис gitlab?
- 1 подписчик
- 01 окт.
- 156 просмотров
0

ответов
Ubuntu

+4 ещё

Средний
С помощью чего создать тунель между Ubuntu и Cisco?
- 1 подписчик
- 24 сент.
- 272 просмотра
2

ответа
Ubuntu

Средний
Подключение к рабочему столу пользователя, Ubuntu 24.04 какие варианты?
- 2 подписчика
- 15 сент.
- 266 просмотров
2

ответа
SQL

+3 ещё

Средний
IIS/Lansweeper сильно тормозит из-за аномального числа логонов, внутренний DDoS?
- 1 подписчик
- 15 сент.
- 93 просмотра
0

ответов
Ubuntu

+2 ещё

Сложный
Как передать реальный IP при переадресации NAT с помощью iptables?
- 1 подписчик
- 14 сент.
- 251 просмотр
4

ответа
Показать ещё Загружается…

Fullstack-разработчик сайтов laravel

WEB ALTERNATIVE

от 65 000 ₽

Системный администратор Linux

Abc staff • Москва

До 250 000 ₽

DevOps-инженер (СI/CD)

ЛСЦТ • Москва

от 280 000 ₽

Мб вы скачали какой-то плагин с зашитым в него DDOS атакой.
Дмитрий Кузнецов, я так и написал, вопрос в том как его найти
Дмитрий Кузнецов, там овер 40 плагинов, каждый строк по 400
tex620, только вручную. Как ещё один вариант (не совсем простой) искать отдельно инфу по каждому плагину. Мб где-то знаете о подобной проблеме.
Запустите в песочнице, дождитесь начала атаки и ищите.
Если код в cs-файле, то он скорее всего обфусцирован. Может быть есть смысл скопировать плагины и натравить на них антивирус - ему может не понравится эта обфускация и он сработает.
Gansterito, Дмитрий Кузнецов, не факт что идет именно с плагинов, начнем с того, как узнать какая програмка шлет запросы, типа сислога есть аналог для сети?
tex620, netstat -apn покажет все сокеты, в том числе TCP/UDP соединения, и процесс, их создавший.
Если трафик гонится через raw-сокеты, будет чуть сложней.
Gansterito, если сокеты уже закрыты, можно посмотреть историю их создания?
tex620, нет, если не делалось никаких доп. настроек, типа, логирование в iptables всех пакетов и т.п.

Answer 1 · 2018-11-08 09:14:25

Такая ситуация случилась 2 раза, я скачал весь снапшот к себе на комп.
Как можно найти по логам или поиску какая именно программа делала запросы, найти ее и удолить.

Запустить на своем компе и просканить wireshark например.

Узнать источник ddos атаки?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт