Как можно обнаружить botnet на сервере?

Question

[slizh]

Здравствуйте! У нас есть небольшой хостинг и в последнее время, кто-то постоянно заказывает у нас VPS сервера и ставит на них BotNet. Верификация данных не помогает.

Как можно попробовать отследить BotNet через сеть, к примеру через tcpdump или iptraf. Возможно есть еще какие-то инструменты?

Comments

[Рональд Макдональд]

Возможно есть еще какие-то инструменты?

Тем же способом, что и вы определили, что это ботнет.

[slizh]

Рональд Макдональд, Нам поступили жалоба от Spamhaus.

[Рональд Макдональд]

slizh, хм. А у вас есть доступ к пользовательским ОС? Или они их ставят сами?

[slizh]

Рональд Макдональд У нас есть шаблон OC, но после выдачи сервера, они как правило меняют пароли, и зайти на сервер не можем, т.к это не OpenVZ а kvm.

[slizh]

wulfdog Пробовали писать, но они ничего не ответили, по этому поводу. Попробуем повторно отправить запрос.

Answer 1

[Александр]

Бот обращается к "серверам" а адреса серверов будут иметь множество имен - обратный DNS Запрос покажет. Если имен много - блокируете хостинг. Ну и в панель управления список разрешенных DNS имен для исходящего трафика.

Comments

[slizh]

Если честно, не совсем понятно, как можно сделать фильтрацию подобного.

Answer 2

[DVoropaev]

Вероятно ваша проблема в том, что ботов ставит не сам арендатор.

Классическая ситуация:
Клиенты заказывают VPS, оставляют простые пароли для удаленного доступа.
Ботнеты регулярно сканируют сеть, находят ваши хосты с открытыми портами, подбирают пароли, берут под контроль, затем начинают спамить/ддосить (для этого и создается ботнет)
Провайдер, или тот же Spamhaus видят подозрительный трафик с ваших серверов и присылают предупреждение.

Для эксперимента: можете сделать виртуалку, открыть порт ssh наружу, и оставить на час. Затем глянуть var/log/auth.log и увидеть большое количество попыток входа с простыми паролями - это те самые боты, норовящие присоединить ваш хост к своей армии.

Если ваша ситуация именно такая, то следует принять превентивные меры, а именно - выводить пользовотелю предупреждение о последствиях, которые могут быть, если они оставят простой пароль

Comments

[Adamos]

Возможно, у самого хостера предлагаемые образы установки системы так дырявы, что боты успевают их сломать еще до того, как арендатор что-то настроит. Вроде дефолтного входа root:root.

[slizh]

Adamos, DVoropaev Это 100% не взломы. У Всех серверов одна и та же OC, один и тот же тариф, доменные имена схожи. Заказывают каждый день по несколько раз, на жалобы ни разу не отвечали.

[DVoropaev]

slizh, а в чем тогда проблема?

[slizh]

DVoropaev, Проблема заключается в том, что с такими темпами, Spamhaus заблокирует все подсеть. Мы бы хотели понять, как можно определить botnet и заблокировать его раньше, чем spamhaus или другие ресурсы его определят.

[DVoropaev]

Но вы как-то определили, что эти сервера есть ботнет?

У Всех серверов одна и та же OC, один и тот же тариф, доменные имена схожи. Заказывают каждый день по несколько раз, на жалобы ни разу не отвечали.

[slizh]

DVoropaev, Не совсем, поступили жалобы от Spamhaus.

[DVoropaev]

slizh, есть возможность снять tcpdump с этих хостов?