Как можно обнаружить botnet на сервере?

Здравствуйте! У нас есть небольшой хостинг и в последнее время, кто-то постоянно заказывает у нас VPS сервера и ставит на них BotNet. Верификация данных не помогает.

Как можно попробовать отследить BotNet через сеть, к примеру через tcpdump или iptraf. Возможно есть еще какие-то инструменты?
  • Вопрос задан
  • 443 просмотра
Пригласить эксперта
Ответы на вопрос 2
NeiroNx
@NeiroNx
Программист
Бот обращается к "серверам" а адреса серверов будут иметь множество имен - обратный DNS Запрос покажет. Если имен много - блокируете хостинг. Ну и в панель управления список разрешенных DNS имен для исходящего трафика.
Ответ написан
@DVoropaev
Ставлю + к карме на хабре за ответы на вопросы
Вероятно ваша проблема в том, что ботов ставит не сам арендатор.
Классическая ситуация:
Клиенты заказывают VPS, оставляют простые пароли для удаленного доступа.
Ботнеты регулярно сканируют сеть, находят ваши хосты с открытыми портами, подбирают пароли, берут под контроль, затем начинают спамить/ддосить (для этого и создается ботнет)
Провайдер, или тот же Spamhaus видят подозрительный трафик с ваших серверов и присылают предупреждение.

Для эксперимента: можете сделать виртуалку, открыть порт ssh наружу, и оставить на час. Затем глянуть var/log/auth.log и увидеть большое количество попыток входа с простыми паролями - это те самые боты, норовящие присоединить ваш хост к своей армии.

Если ваша ситуация именно такая, то следует принять превентивные меры, а именно - выводить пользовотелю предупреждение о последствиях, которые могут быть, если они оставят простой пароль
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы