Почему Ubuntu рассылает SYN Flood?

Question

tarasui @tarasui

Почему Ubuntu рассылает SYN Flood?

После ddos атаки (хотя думаю это не связанно), сервер стал сам бот-машиной.
Не могу понять какой процесс рассылает?
И как смогли заразить.

root@azmsk /var/log # netstat -nt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0    216 46.4.106.34:22          89.169.3.12:60011       ESTABLISHED

нечего не показывает кроме моего соединения по SSH к выделенному серверу (Hetzner)
где выключен service sendmail, postfix, nginx, php-fpm, mysql, squid, vsftpd, webmin stop
но флуд едет в секунду запросов 40, при этом 8 ядерный не грузит.

root@azmsk /var/log # tcpdump -i eth0 -vv
11:17:53.207382 IP (tos 0x0, ttl 236, id 65259, offset 0, flags [none], proto TCP (6), length 40)
    5-23-77-128.emax.is.http > azmsk.com.19145: Flags [R], cksum 0xa590 (correct), seq 1183, win 8192, length 0
11:17:53.207395 IP (tos 0x0, ttl 236, id 65259, offset 0, flags [none], proto TCP (6), length 40)
    5-23-77-128.emax.is.http > azmsk.com.64057: Flags [R], cksum 0x497a (correct), seq 1183, win 8192, length 0
11:17:53.217007 IP (tos 0x0, ttl 236, id 65259, offset 0, flags [none], proto TCP (6), length 40)
    5-23-77-128.emax.is.http > azmsk.com.59902: Flags [R], cksum 0xc129 (correct), seq 1183, win 8192, length 0
11:17:53.225771 IP (tos 0x0, ttl 236, id 65259, offset 0, flags [none], proto TCP (6), length 40)
    5-23-77-128.emax.is.http > azmsk.com.57444: Flags [R], cksum 0xc19a (correct), seq 1183, win 8192, length 0
11:17:53.229453 IP (tos 0x0, ttl 236, id 65259, offset 0, flags [none], proto TCP (6), length 40)
    5-23-77-128.emax.is.http > azmsk.com.9910: Flags [R], cksum 0x1bb5 (correct), seq 1183, win 8192, length 0

Скажите какой процесс вырубить?

root@azmsk /var/log # ps aux
...
root       497  0.0  0.0  17896  1392 ?        S    04:56   0:00 upstart-udev-bridge --daemon
root       501  0.0  0.0      0     0 ?        S<   04:56   0:00 [kworker/4:1H]
root       502  0.0  0.0  21864  1644 ?        Ss   04:56   0:00 /sbin/udevd --daemon
root       515  0.0  0.0      0     0 ?        S    04:56   0:00 [kjournald]
root       516  0.0  0.0      0     0 ?        S<   04:56   0:00 [kworker/1:1H]
root       535  0.0  0.0  50040  2928 ?        Ss   04:56   0:00 /usr/sbin/sshd -D
root       540  0.0  0.0      0     0 ?        S<   04:56   0:00 [kworker/2:1H]
root       714  0.0  0.0  21860  1184 ?        S    04:56   0:00 /sbin/udevd --daemon
root       716  0.0  0.0  21860  1220 ?        S    04:56   0:00 /sbin/udevd --daemon
root       756  0.0  0.0      0     0 ?        S<   04:56   0:00 [edac-poller]
102        766  0.0  0.0  23824   696 ?        Ss   04:56   0:00 dbus-daemon --system --fork --activation=upstart
root       769  0.0  0.0      0     0 ?        S<   04:56   0:00 [hd-audio0]
syslog     774  0.0  0.0 249480  1484 ?        Sl   04:56   0:01 rsyslogd -c5
root       782  0.0  0.0      0     0 ?        S<   04:56   0:00 [kvm-irqfd-clean]
root       805  0.0  0.0  15196   388 ?        S    04:56   0:00 upstart-socket-bridge --daemon
root      1001  0.0  0.0  15792   976 tty4     Ss+  04:56   0:00 /sbin/getty -8 38400 tty4
root      1020  0.0  0.0  15792   972 tty5     Ss+  04:56   0:00 /sbin/getty -8 38400 tty5
root      1076  0.0  0.0  15792   968 tty2     Ss+  04:56   0:00 /sbin/getty -8 38400 tty2
root      1077  0.0  0.0  15792   972 tty3     Ss+  04:56   0:00 /sbin/getty -8 38400 tty3
root      1080  0.0  0.0  15792   972 tty6     Ss+  04:56   0:00 /sbin/getty -8 38400 tty6
root      1085  0.0  0.0   4336   688 ?        Ss   04:56   0:00 acpid -c /etc/acpi/events -s /var/run/acpid.socket
root      1193  0.0  0.0  19120  1040 ?        Ss   04:56   0:00 cron
root      1196  0.0  0.0  15988   696 ?        Ss   04:56   0:03 /usr/sbin/irqbalance
root      1232  0.0  0.0      0     0 ?        S<   04:56   0:00 [kworker/3:1H]
root      1536  0.0  0.0  13376   724 ?        Ss   04:56   0:00 /sbin/mdadm --monitor --pid-file /var/run/mdadm/monitor.pid
root      1582  0.0  0.0  15792   976 tty1     Ss+  04:56   0:00 /sbin/getty -8 38400 tty1
ntp       2980  0.0  0.0  37784  2248 ?        Ss   04:56   0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 104:110
daemon   12619  0.0  0.0  16916   376 ?        Ss   09:22   0:00 atd
root     12816  0.0  0.0  73600  3816 ?        Ss   09:44   0:01 sshd: root@pts/0
root     12832  0.0  0.0  23016  4348 pts/0    Ss   09:44   0:00 -bash
root     13627  0.4  0.0  72228  3636 ?        Ss   12:33   0:00 sshd: root [priv]
sshd     13628  0.0  0.0  51472  1444 ?        S    12:33   0:00 sshd: root [net]
root     13629  0.0  0.0      0     0 ?        S    12:33   0:00 [flush-9:2]
root     13630  0.0  0.0  18164  1268 pts/0    R+   12:33   0:00 ps aux

Спасибо

Вопрос задан более трёх лет назад
3081 просмотр

Комментировать

Подписаться 3 Оценить Комментировать

Решения вопроса 1

7 комментариев

tarasui @tarasui Автор вопроса

спасибо большое
root@azmsk # tcpdump -i eth0 -nn
17:40:19.342758 IP 137.189.51.30.80 > 46.4.106.34.28671: Flags [R], seq 1608, win 8192, length 0
а так seq занимает место?

Написано более трёх лет назад
tarasui @tarasui Автор вопроса

там не весь вывод ps aux влез

Написано более трёх лет назад
throughtheether @throughtheether

Простите, не понял вот этого вопроса:
>а так seq занимает место?
Seq (sequence number) - это поле в TCP-заголовке. Если я правильно понимаю, сервер, отвечая RST на SYN, в этом поле шлет значение, на единицу большее значения seq в SYN-сегменте. Исходя из самого первого дампа, кто-то (как я предполагаю) постоянно слал SYN-сегменты с seq=1182 внутри IP-пакета с вашим IP-адресом в качестве адреса источника.

Написано более трёх лет назад
tarasui @tarasui Автор вопроса

это можно как-то заблокировать iptables ?
iptables -I OUTPUT -p tcp --dport 80 -j DROP

Написано более трёх лет назад
throughtheether @throughtheether

Повторяю, ваш сервер, судя по дампу, никаких пакетов в сторону 137.189.51.30 не шлет. Это 137.189.51.30 шлет вам RST-сегменты. Отфильтровать вы их можете примерно так:
iptables -I INPUT -s 137.189.51.30 -p tcp --sport 80 -j DROP
Но трафик все равно будет поступать на порт, он просто не будет обрабатываться. Так как, если я правильно понял, на данный момент этот трафик не создает нагрузки, не вполне ясно, зачем может понадобиться его фильтровать.

Написано более трёх лет назад
tarasui @tarasui Автор вопроса

спасибо большое. Блокирую потому что ДЦ(Hetzner) получает жалобные письма и блокирует сервер.

Написано более трёх лет назад
tarasui @tarasui Автор вопроса

хотя флуд там все равно получают ;)

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+2 ещё

Средний
Как добавить php5.6 в ubuntu 16.04.07?
- 1 подписчик
- 2 часа назад
- 31 просмотр
2

ответа
Ubuntu

+1 ещё

Простой
Как возвращаться к коду в VS Code в Ubuntu?
- 1 подписчик
- 10 часов назад
- 48 просмотров
1

ответ
Linux

+3 ещё

Простой
Как решить проблемы с клавиатурой в файловом менеджере far2l в Ubuntu 24.04 в сеансе Wayland?
- 1 подписчик
- 12 часов назад
- 69 просмотров
1

ответ
Ubuntu

+2 ещё

Средний
Как настроить контейнер Ubuntu с Nginx в Yandex Cloud?
- 1 подписчик
- 19 часов назад
- 73 просмотра
0

ответов
Ubuntu

+1 ещё

Простой
Порекомендуйте бюджетную USB 1080p камеру под Ubuntu?
- 1 подписчик
- вчера
- 80 просмотров
1

ответ
Linux

+2 ещё

Простой
Linux (Ubuntu, Gnome) необходимо небольшое окошко поверх всех остальных окон?
- 1 подписчик
- 24 апр.
- 243 просмотра
2

ответа
Ubuntu

+1 ещё

Простой
Как запустить несколько команд в bash вместе, но не дожидаясь ответа?
- 2 подписчика
- 23 апр.
- 218 просмотров
4

ответа
Ubuntu

Простой
Как правильно использовать Docker в Ubuntu?
- 1 подписчик
- 23 апр.
- 112 просмотров
3

ответа
Ubuntu

+2 ещё

Средний
Как воcстановить работоспособность VM Proxmox?
- 1 подписчик
- 22 апр.
- 110 просмотров
1

ответ
Ubuntu

+2 ещё

Простой
Как подключить Smart KBD Trio 500 к Ubuntu Linux (Bluetooth)?
- 2 подписчика
- 21 апр.
- 111 просмотров
1

ответ
Показать ещё Загружается…

DevOps-инженер/SRE-инженер

FS Travel • Москва

от 260 000 ₽

Middle Fullstack Developer (Laravel + Vue.js) (Contractor, Remote)

Hicaliber

от 2 500 до 3 800 $

Системный администратор

FS Travel • Москва

от 170 000 ₽

Подобрать картинки для каталога

27 апр. 2024, в 06:40

2000 руб./за проект

Подключить сервер к сети

27 апр. 2024, в 02:39

2500 руб./за проект

Необходимо сверстать приложение согласно макету Figma используя React

26 апр. 2024, в 22:22

1500 руб./за проект

Answer 1 · 2014-02-14 18:24:19

Я правильно понимаю, что azmsk.com - ваш сервер? В таком случае, на дампе видно только, что хост с адресом 5.23.77.128 (5-23-77-128.emax.is) шлет вам RST-сегменты. Судя по различным портам назначения, это ответы на SYN-сегменты, инкапсулированные в IP-пакеты с адресом вашего сервера. Я предполагаю, имеет место SYN-flood с подменой адреса источника. В пользу этой версии, насколько я понимаю, говорит и постоянное значение поля seq tcp-заголовка. На вашем дампе я не вижу доказательств того, что ваш сервер участвует в SYN-flood атаке.

На будущее, пользуйтесь, пожалуйста, опцией "-nn" tcpdump, так гораздо проще читать дампы. А еще лучше, собирайте образцы трафика в отдельный .pcap-файл.

Почему Ubuntu рассылает SYN Flood?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт