Почему Ubuntu рассылает SYN Flood?

Question

[tarasui]

После ddos атаки (хотя думаю это не связанно), сервер стал сам бот-машиной.
Не могу понять какой процесс рассылает?
И как смогли заразить.

root@azmsk /var/log # netstat -nt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0    216 46.4.106.34:22          89.169.3.12:60011       ESTABLISHED

нечего не показывает кроме моего соединения по SSH к выделенному серверу (Hetzner)
где выключен service sendmail, postfix, nginx, php-fpm, mysql, squid, vsftpd, webmin stop
но флуд едет в секунду запросов 40, при этом 8 ядерный не грузит.

root@azmsk /var/log # tcpdump -i eth0 -vv
11:17:53.207382 IP (tos 0x0, ttl 236, id 65259, offset 0, flags [none], proto TCP (6), length 40)
    5-23-77-128.emax.is.http > azmsk.com.19145: Flags [R], cksum 0xa590 (correct), seq 1183, win 8192, length 0
11:17:53.207395 IP (tos 0x0, ttl 236, id 65259, offset 0, flags [none], proto TCP (6), length 40)
    5-23-77-128.emax.is.http > azmsk.com.64057: Flags [R], cksum 0x497a (correct), seq 1183, win 8192, length 0
11:17:53.217007 IP (tos 0x0, ttl 236, id 65259, offset 0, flags [none], proto TCP (6), length 40)
    5-23-77-128.emax.is.http > azmsk.com.59902: Flags [R], cksum 0xc129 (correct), seq 1183, win 8192, length 0
11:17:53.225771 IP (tos 0x0, ttl 236, id 65259, offset 0, flags [none], proto TCP (6), length 40)
    5-23-77-128.emax.is.http > azmsk.com.57444: Flags [R], cksum 0xc19a (correct), seq 1183, win 8192, length 0
11:17:53.229453 IP (tos 0x0, ttl 236, id 65259, offset 0, flags [none], proto TCP (6), length 40)
    5-23-77-128.emax.is.http > azmsk.com.9910: Flags [R], cksum 0x1bb5 (correct), seq 1183, win 8192, length 0

Скажите какой процесс вырубить?

root@azmsk /var/log # ps aux
...
root       497  0.0  0.0  17896  1392 ?        S    04:56   0:00 upstart-udev-bridge --daemon
root       501  0.0  0.0      0     0 ?        S<   04:56   0:00 [kworker/4:1H]
root       502  0.0  0.0  21864  1644 ?        Ss   04:56   0:00 /sbin/udevd --daemon
root       515  0.0  0.0      0     0 ?        S    04:56   0:00 [kjournald]
root       516  0.0  0.0      0     0 ?        S<   04:56   0:00 [kworker/1:1H]
root       535  0.0  0.0  50040  2928 ?        Ss   04:56   0:00 /usr/sbin/sshd -D
root       540  0.0  0.0      0     0 ?        S<   04:56   0:00 [kworker/2:1H]
root       714  0.0  0.0  21860  1184 ?        S    04:56   0:00 /sbin/udevd --daemon
root       716  0.0  0.0  21860  1220 ?        S    04:56   0:00 /sbin/udevd --daemon
root       756  0.0  0.0      0     0 ?        S<   04:56   0:00 [edac-poller]
102        766  0.0  0.0  23824   696 ?        Ss   04:56   0:00 dbus-daemon --system --fork --activation=upstart
root       769  0.0  0.0      0     0 ?        S<   04:56   0:00 [hd-audio0]
syslog     774  0.0  0.0 249480  1484 ?        Sl   04:56   0:01 rsyslogd -c5
root       782  0.0  0.0      0     0 ?        S<   04:56   0:00 [kvm-irqfd-clean]
root       805  0.0  0.0  15196   388 ?        S    04:56   0:00 upstart-socket-bridge --daemon
root      1001  0.0  0.0  15792   976 tty4     Ss+  04:56   0:00 /sbin/getty -8 38400 tty4
root      1020  0.0  0.0  15792   972 tty5     Ss+  04:56   0:00 /sbin/getty -8 38400 tty5
root      1076  0.0  0.0  15792   968 tty2     Ss+  04:56   0:00 /sbin/getty -8 38400 tty2
root      1077  0.0  0.0  15792   972 tty3     Ss+  04:56   0:00 /sbin/getty -8 38400 tty3
root      1080  0.0  0.0  15792   972 tty6     Ss+  04:56   0:00 /sbin/getty -8 38400 tty6
root      1085  0.0  0.0   4336   688 ?        Ss   04:56   0:00 acpid -c /etc/acpi/events -s /var/run/acpid.socket
root      1193  0.0  0.0  19120  1040 ?        Ss   04:56   0:00 cron
root      1196  0.0  0.0  15988   696 ?        Ss   04:56   0:03 /usr/sbin/irqbalance
root      1232  0.0  0.0      0     0 ?        S<   04:56   0:00 [kworker/3:1H]
root      1536  0.0  0.0  13376   724 ?        Ss   04:56   0:00 /sbin/mdadm --monitor --pid-file /var/run/mdadm/monitor.pid
root      1582  0.0  0.0  15792   976 tty1     Ss+  04:56   0:00 /sbin/getty -8 38400 tty1
ntp       2980  0.0  0.0  37784  2248 ?        Ss   04:56   0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 104:110
daemon   12619  0.0  0.0  16916   376 ?        Ss   09:22   0:00 atd
root     12816  0.0  0.0  73600  3816 ?        Ss   09:44   0:01 sshd: root@pts/0
root     12832  0.0  0.0  23016  4348 pts/0    Ss   09:44   0:00 -bash
root     13627  0.4  0.0  72228  3636 ?        Ss   12:33   0:00 sshd: root [priv]
sshd     13628  0.0  0.0  51472  1444 ?        S    12:33   0:00 sshd: root [net]
root     13629  0.0  0.0      0     0 ?        S    12:33   0:00 [flush-9:2]
root     13630  0.0  0.0  18164  1268 pts/0    R+   12:33   0:00 ps aux

Спасибо

Answer 1

[throughtheether]

Я правильно понимаю, что azmsk.com - ваш сервер? В таком случае, на дампе видно только, что хост с адресом 5.23.77.128 (5-23-77-128.emax.is) шлет вам RST-сегменты. Судя по различным портам назначения, это ответы на SYN-сегменты, инкапсулированные в IP-пакеты с адресом вашего сервера. Я предполагаю, имеет место SYN-flood с подменой адреса источника. В пользу этой версии, насколько я понимаю, говорит и постоянное значение поля seq tcp-заголовка. На вашем дампе я не вижу доказательств того, что ваш сервер участвует в SYN-flood атаке.

На будущее, пользуйтесь, пожалуйста, опцией "-nn" tcpdump, так гораздо проще читать дампы. А еще лучше, собирайте образцы трафика в отдельный .pcap-файл.

Comments

[tarasui]

спасибо большое
root@azmsk # tcpdump -i eth0 -nn
17:40:19.342758 IP 137.189.51.30.80 > 46.4.106.34.28671: Flags [R], seq 1608, win 8192, length 0
а так seq занимает место?

[tarasui]

там не весь вывод ps aux влез

[throughtheether]

Простите, не понял вот этого вопроса:
>а так seq занимает место?
Seq (sequence number) - это поле в TCP-заголовке. Если я правильно понимаю, сервер, отвечая RST на SYN, в этом поле шлет значение, на единицу большее значения seq в SYN-сегменте. Исходя из самого первого дампа, кто-то (как я предполагаю) постоянно слал SYN-сегменты с seq=1182 внутри IP-пакета с вашим IP-адресом в качестве адреса источника.

[tarasui]

это можно как-то заблокировать iptables ?
iptables -I OUTPUT -p tcp --dport 80 -j DROP

[throughtheether]

Повторяю, ваш сервер, судя по дампу, никаких пакетов в сторону 137.189.51.30 не шлет. Это 137.189.51.30 шлет вам RST-сегменты. Отфильтровать вы их можете примерно так:
iptables -I INPUT -s 137.189.51.30 -p tcp --sport 80 -j DROP
Но трафик все равно будет поступать на порт, он просто не будет обрабатываться. Так как, если я правильно понял, на данный момент этот трафик не создает нагрузки, не вполне ясно, зачем может понадобиться его фильтровать.

[tarasui]

спасибо большое. Блокирую потому что ДЦ(Hetzner) получает жалобные письма и блокирует сервер.

[tarasui]

хотя флуд там все равно получают ;)