Узнать источник ddos атаки?

Question

tex620 @tex620

Узнать источник ddos атаки?

Заказал на сайте hetzner небольшую вдсочку, поставил на нее свой давний снапшот с игровыми серверами (rust), но возникла проблема, с моего сервера идет огромный поток запросов куда то в китай, предположительно, с моего хоста шла ддос атака, в следствие чего мой хост забанили.
Такая ситуация случилась 2 раза, я скачал весь снапшот к себе на комп.
Как можно найти по логам или поиску какая именно программа делала запросы, найти ее и удолить.
Еще есть 1 возможность, сервера раст принимают плагины в формате. cs (c# source)
возможно что подобный механизм зашит туда.
Заранее спасибо за ответ.

Вопрос задан более трёх лет назад
2600 просмотров

9 комментариев

Подписаться 2 Средний 9 комментариев

Дмитрий Кузнецов @dima9595

Мб вы скачали какой-то плагин с зашитым в него DDOS атакой.

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Дмитрий Кузнецов, я так и написал, вопрос в том как его найти

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Дмитрий Кузнецов, там овер 40 плагинов, каждый строк по 400

Написано более трёх лет назад
Дмитрий Кузнецов @dima9595

tex620, только вручную. Как ещё один вариант (не совсем простой) искать отдельно инфу по каждому плагину. Мб где-то знаете о подобной проблеме.

Написано более трёх лет назад
Gansterito @Gansterito

Запустите в песочнице, дождитесь начала атаки и ищите.
Если код в cs-файле, то он скорее всего обфусцирован. Может быть есть смысл скопировать плагины и натравить на них антивирус - ему может не понравится эта обфускация и он сработает.

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Gansterito, Дмитрий Кузнецов, не факт что идет именно с плагинов, начнем с того, как узнать какая програмка шлет запросы, типа сислога есть аналог для сети?

Написано более трёх лет назад
Gansterito @Gansterito

tex620, netstat -apn покажет все сокеты, в том числе TCP/UDP соединения, и процесс, их создавший.
Если трафик гонится через raw-сокеты, будет чуть сложней.

Написано более трёх лет назад
tex620 @tex620 Автор вопроса

Gansterito, если сокеты уже закрыты, можно посмотреть историю их создания?

Написано более трёх лет назад
Gansterito @Gansterito

tex620, нет, если не делалось никаких доп. настроек, типа, логирование в iptables всех пакетов и т.п.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Ubuntu

+2 ещё

Средний
Как сделать максимальную частоту процессора на виртуальной машине Windows Server 2022?
- 2 подписчика
- 21 нояб.
- 180 просмотров
1

ответ
Ubuntu

+2 ещё

Средний
Запускаю сайты на apache2 и выдает такую ошибку DNS_PROBE_FINISHED_NXDOMAIN?
- 1 подписчик
- 20 нояб.
- 90 просмотров
0

ответов
C#

+2 ещё

Простой
Почему не отправляются письма по SMTP с сервера Ubuntu, но с локалки Windows все хорошо?
- 3 подписчика
- 20 нояб.
- 448 просмотров
1

ответ
Веб-разработка

+3 ещё

Простой
Какие параметры отвечают за rateLimit в Ingress kuberneties?
- 1 подписчик
- 20 нояб.
- 70 просмотров
2

ответа
Ubuntu

+1 ещё

Средний
Почему не видны снаружи порты докера в Ubuntu?
- 1 подписчик
- 17 нояб.
- 153 просмотра
3

ответа
Ubuntu

Простой
Как открыть lightshot, установленный на ubuntu 24.04?
- 1 подписчик
- 16 нояб.
- 115 просмотров
2

ответа
Ubuntu

+2 ещё

Простой
Почему не работает WebAPP Telegram в Ubuntu?
- 1 подписчик
- 14 нояб.
- 152 просмотра
1

ответ
Ubuntu

+2 ещё

Средний
Как подключиться по TCP/IP к базе данных PostgreSQL на удаленном Ubuntu сервере?
- 1 подписчик
- 12 нояб.
- 212 просмотров
2

ответа
Ubuntu

+2 ещё

Простой
Как запустить VueJs в Docker на Ubuntu 14.04?
- 1 подписчик
- 12 нояб.
- 147 просмотров
2

ответа
Linux

+2 ещё

Средний
Ошибка Kernel driver not installed (rc=-1908)?
- 1 подписчик
- 10 нояб.
- 106 просмотров
3

ответа
Показать ещё Загружается…

Fullstack-разработчик (PHP / VueJS)

Bash Today

от 200 000 до 230 000 ₽

Fullstack Developer (.NET/Angular) в команду WebPMS

TravelLine

До 250 000 ₽

Программист в стартап (с перспективой занять должность CTO)

Enlight Russia

от 80 000 до 80 000 ₽

Разработка приложения VPN

28 нояб. 2024, в 18:46

3000 руб./за проект

Разработка Телеграм Бота

28 нояб. 2024, в 17:46

10000 руб./за проект

Верстка на wordpress по макету в figma

28 нояб. 2024, в 17:38

12000 руб./за проект

Мб вы скачали какой-то плагин с зашитым в него DDOS атакой.
Дмитрий Кузнецов, я так и написал, вопрос в том как его найти
Дмитрий Кузнецов, там овер 40 плагинов, каждый строк по 400
tex620, только вручную. Как ещё один вариант (не совсем простой) искать отдельно инфу по каждому плагину. Мб где-то знаете о подобной проблеме.
Запустите в песочнице, дождитесь начала атаки и ищите.
Если код в cs-файле, то он скорее всего обфусцирован. Может быть есть смысл скопировать плагины и натравить на них антивирус - ему может не понравится эта обфускация и он сработает.
Gansterito, Дмитрий Кузнецов, не факт что идет именно с плагинов, начнем с того, как узнать какая програмка шлет запросы, типа сислога есть аналог для сети?
tex620, netstat -apn покажет все сокеты, в том числе TCP/UDP соединения, и процесс, их создавший.
Если трафик гонится через raw-сокеты, будет чуть сложней.
Gansterito, если сокеты уже закрыты, можно посмотреть историю их создания?
tex620, нет, если не делалось никаких доп. настроек, типа, логирование в iptables всех пакетов и т.п.

Answer 1 · 2018-11-08 09:14:25

Такая ситуация случилась 2 раза, я скачал весь снапшот к себе на комп.
Как можно найти по логам или поиску какая именно программа делала запросы, найти ее и удолить.

Запустить на своем компе и просканить wireshark например.

Узнать источник ddos атаки?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт