Что делать, если DDOS идет через мой сервер в Hetzner?

Question

[Александр Глобов]

Здравствуйте! Получил вчера "письмо счастья" от abuse@hetzner.de на тему, что через мой сервер идет DDOS атака. На всё про все дали 24 часа.

Вот текст сообщения от пострадавшего:

Hi

My IP yy.yy.yy.yy is being ddosed from your network
All ips that attack me belong to Hetzner
Attack speed is more than 1gbit\s

PROTO=UDP SPT=10000 DPT=80 DST=yy.yy.yy.yy

IP addresses that are attacking me:
Feb 9 19:26:25 srv1 kernel: [ 69.722057] Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=d8:9d:67:16:93:b0:00:0e:39:42:bc:00:08:00 SRC=xx.xx.xx.xx DST=yy.yy.yy.yy LEN=1396 TOS=0x00 PREC=0x00 TTL=246 ID=50113 PROTO=UDP SPT=10000 DPT=80 LEN=1376

Раньше с таким не приходилось сталкиваться. Начал копать в интернете и нашел, что могут DDOS-ить через рекурсивные запросы в DNS-сервере bind9
forum.searchengines.ru/showthread.php?t=785341
Но он у меня в принципе не установлен.

Также нашел статьи о использовании багов NTP сервера:
habrahabr.ru/post/209438
Но команда
ntpdc -c monlist адрес_сервера
отвечает Timed out. Следовательно эта дыра тоже закрыта.

Подскажите в какую сторону еще искать? Какие еще способы есть DDOS-а через мой сервер?

Comments

[Александр Глобов]

Заголовки письма, пришедшего на почту:

From MAILER-DAEMON Mon Feb 10 15:15:04 2014
Return-path: <>
Authentication-Results: mxs.mail.ru; spf=none () smtp.mailfrom=root@robot.first-ns.de smtp.helo=robot.first-ns.de
Received-SPF: none
Received: from [213.133.104.100] (port=34326 helo=robot.first-ns.de)
 by mx13.mail.ru with esmtp (envelope-from <root@robot.first-ns.de>)
 id 1WCopM-00007I-8l
 for тутмойemail@mail.ru; Mon, 10 Feb 2014 15:15:04 +0400
X-Mru-BL: 0:0:1123
X-Mru-PTR: robot.first-ns.de
X-Mru-NR: 1
X-Mru-OF: Linux (Ethernet or modem)
X-Mru-RC: DE
Received: from localhost ([127.0.0.1] helo=robot.first-ns.de)
 by robot.first-ns.de with esmtps (TLSv1:AES256-SHA:256)
 (Exim 4.74)
 (envelope-from <root@robot.first-ns.de>)
 id 1WCopL-0004Zs-SG
 for тутмойemail@mail.ru; Mon, 10 Feb 2014 12:15:03 +0100
Received: from root by robot.first-ns.de with local (Exim 4.74)
 (envelope-from <root@robot.first-ns.de>)
 id 1WCopL-0004Zp-QT
 for тутмойemail@mail.ru; Mon, 10 Feb 2014 12:15:03 +0100
To: тутмойemail@mail.ru
Subject: [AbuseID:0EC63F:23] DDoS from your network
From: Hetzner Online AG <abuse@hetzner.de>
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: 8bit
Message-Id: <E1WCopL-0004Zp-QT@robot.first-ns.de>
Date: Mon, 10 Feb 2014 12:15:03 +0100
X-Spam: Not detected

[nikitasius]

У вас на сервере стоит любой DNS сервер?

Answer 1

[mikes]

способов много использовать вас в качестве атакующего.
сначала через iptables "перекройте кислород" из логов у вас есть данные чего куда закрыть
а потом как первый шаг проверьте netstat -p --udp коль вы по udp спамите и посмотрите что будет

Comments

[Александр Глобов]

@mikes Если подскажите какие логи анализировать, чтобы "перекрыть кислород" буду премного благодарен.

[mikes]

раз пишут PROTO=UDP SPT=10000 DPT=80 DST=yy.yy.yy.yy то и правило будет вида
iptables -I OUTPUT 1 -m udp -p udp --sport 10000 --dport 80 -j DROP
или вообще
iptables -I OUTPUT 1 -m udp -p udp --dport 80 -j DROP
дабы запретить исходящий udp на 80й порт

[Александр Глобов]

@mikes Спасибо большое.

[sonik_spb]

Что за зараза была поделитесь информацией?

Answer 2

[throughtheether]

Во-первых, необходимо проверить актуальность претензий. Не знаю насчет hetzner, но некоторые другие хостеры любят перенаправлять жалобы напрямую, не удосужившись элементарной проверкой. В вашем случае, вполне вероятна подделка адреса источника.
Итак, необходимо
1) Посмотреть на уровень трафика от вашего сервера в указанное время. Я надеюсь, это мониторится.
2) Написать в hetzner, что вы просите их проверить претензию на соответствие netflow-данным (я надеюсь, они их собирают). Грубо говоря, они должны подтвердить или опровергнуть, был ли трафик с вашего хоста на атакуемый сервер в указанное время на указанный порт, и в каком количестве.

TL;DR: Не факт, что эта атака к вам имеет какое-либо, кроме использования вашего адреса, отношение.

Comments

[Александр Глобов]

Спасибо. Написал в hetzner о принятых мерах, больше никто не беспокоил. К тому же так совпало, что мы переезжаем с того сервера, так что вопрос можно сказать снят.

Answer 3

[Oleg]

А вы не думаете что само письмо, это попытка развода?

Comments

[Александр Глобов]

Есть такая мысль, только как это проверить?

[Артур Бекеров]

@sanekglobov Я думаю посмотреть настоящее письмо от хетзнера. я могу его переслать

[Александр Глобов]

@krekerov Само письмо очень похоже на правду. Заголовки письма приложил к вопросу. Email: globov777@mail.ru

[Александр Глобов]

@krekerov Спасибо. Текст письма такой же (текст, адреса, ), разве что в attachment нет заголовков письма пострадавшего. Ну и мне повезло меньше, мне никто способов решения проблемы не присылал. Так что в достоверность письма можно поверить.

Answer 4

[Пума Тайланд]

Логично что вас ломанули и с сервера ддосят.

Comments

[Александр Глобов]

@opium Не факт, нас могли подставить замаскировавшись под нас.