DDOS атака с моего сервера.

[tork]

Всем доброго времени суток.
Сложилась неприятная ситуация.

Имееться физическая машина в дата центре, установлен убунт 12.04 х64
На неё были установлены такие пакеты:

apt-get update
apt-get install openssh-server
apt-get install openjdk-6-jre
apt-get install apache2
apt-get install mysql-server
apt-get install php5
apt-get install php5-mysql
apt-get install php5-cgi
apt-get install phpmyadmin
apt-get install mc
apt-get install tofrodos

Данные пакеты установлены для работы игрового сервера.
Сервер работал без проблем в течении месяца, хотя была одна ддос атака на мой сервер. Но выдержал.

Вчера вечером сложилась такая проблема, игровой сервер упал.
При попытке подключиться к серверу через ssh, он долго думает, потом разрыв соединения.
Связался с тех-поддержкой, они говорят мол с моего сервера производилась ддос атака на другие сервера.
А так же обвинили в розсылке спама
и предоставили лог по разсылке спама в виде:

----- attachment -----

 Return-path: <npj25@bellsouth.net>
 Delivery-date: Sun, 30 Sep 2012 20:37:51 +0200
 Received: from [204.127.217.106] (helo=fmailhost06.isp.att.net)
 by lms.your-server.de with esmtp (Exim 4.74)
 (envelope-from <npj25@bellsouth.net>)
 id 1TIOOl-0001NA-1w
 Sun, 30 Sep 2012 20:37:51 +0200
 Received: from npjpc (adsl-74-178-213-172.jax.bellsouth.net[74.178.213.172])
 by isp.att.net (frfwmhc06) with SMTP
 id <20120930183741H0600p2d2ae>; Sun, 30 Sep 2012 18:37:41 +0000
 X-Originating-IP: [74.178.213.172]
 Message-ID: <B450214BF485449DB67AAF64E7840C66@npjPC>
 From: "npj" <npj25@bellsouth.net>
 Subject: firewall block
 Date: Sun, 30 Sep 2012 14:37:40 -0400
 MIME-Version: 1.0
 Content-Type: multipart/alternative;
 boundary="----=_NextPart_000_0003_01CD9F19.24C45DA0"
 X-Priority: 3
 X-MSMail-Priority: Normal
 X-Mailer: Microsoft Windows Mail 6.0.6002.18197
 X-MimeOLE: Produced By Microsoft MimeOLE V6.0.6002.18463
 X-Virus-Scanned: Clear (ClamAV 0.97.3/15419/Sun Sep 30 16:10:35 2012)
 X-Spam-Score: 1.5 (+)

 This is a multi-part message in MIME format.

Подскажите пожалуйста, куда мне копать, что бы выяснить что происходит.

[Sly_tom_cat]

ИМХО, для начала запросить в саппорте открытие доступа по SSH, иначе ведь вам и не разобраться будет. А там - смотреть лги, активные процессы и т.п.

[tork]

Доступ дали.
Но дело в том что Ubuntu знаю со стороны администрирования игрового сервера.

Подскжите пожалуйста, что и где надо проверить, что бы выяснить обстоятельства почем такое произошло.

[Desr]

Доступ дали.
Но дело в том что Ubuntu знаю со стороны администрирования игрового сервера.

Подскжите пожалуйста, что и где надо проверить, что бы выяснить обстоятельства почем такое произошло.

Мое субъективное мнение, дырка в ПО сервера. Если есть возможность, все форматнуть и поновой установить и поменять все пароли и обновить ПО. Также не мешало бы закрыть все неиспользуемые порты через iptables.

[tork]

Все порты были закрыты через иптейбл, к основным открыт доступ только по 1 айпи адресу.
И открыт 1 игровой порт.
Переустановка ОС, это крайняя мера, или хотя бы узнать по какой причине возникли даные траблы.

[Sly_tom_cat]

Ну я не профи в таких расследованиях (надеюсь опытные подтянутся) но я бы лазил по логам - смотрел что было в означенные провайдером периоды времени (когда была нездоровая активность сервака).

Логи, вестимо, лежат в /var/log.

[san-alex]

Перенесу-ка я тему в "Безопасность", может там более опытные ответят...

[censor]

узнать примерное время начала рассылки спама, просмотреть список всех пользоватедей в системе и их history, просмотреть системный /var/log
ну для начала как самое примитивное.

[tork]

Доступ к системе был только у меня, и то с ограничением по айпи.
Логи уже врятли пересмотрю.
Так как после проверки дата центром сервера, ничего не выявлено, проверка на вирусы так же ничего не показала.
Я подал заявку на переустановку ОС.
А что это было - наверное уличная магия.
Самое главное что бекапы успел сохранить на своем компютере.

Теперь вопрос в другом.
Правила для iptables у меня есть, делал знакомый.

Есть ли здесь люди которые в низ хорошо разбираються?
Нужен человек который в iptables разбираеться хорошо, да бы написать грамотно правила.
Если уж крайне вопрос станет в деньгах, готов заплатить.

[tork]

Добрый вечер.

С обеда сегоднешнего дня не могу приконектиться к серверу который стоит в ДЦ, а точнее конектится очень долго, как будто забит канал.
Сейчас получилось подключиться, но посмотрев результат команды ifconfig удивился в чтом что исходящего трафика 150 гб. а сходящего всего 1 мб.

В ДЦ говорят что была ддос атака с моего сервера. Но Я не имею представления что этому могло послужить...
Доступ на все порты закрыт, открыт только на несколько портов и то с ограничение по айпи.

Вопрос заключаеться в том, что это может быть? Что надо посмотреть и сделать да бы устранить проблему?

Пользователь решил продолжить мысль 07 Октября 2012, 21:37:42:И как понять куда такое количество трафика ушло и по какой причине?

[Sly_tom_cat]

Вопрос заключаеться в том, что это может быть?
...
И как понять куда такое количество трафика ушло и по какой причине?

Ответ:

В ДЦ говорят что была ддос атака с моего сервера.

Переведу на понятный - сломали ваш сервак, и с него ddos-или кого-то. Вот вам причина и трафик.

Что смотреть - логи.

[Отражение луны]

Отпишитесь, пожалуйста, о версии сервера и какое стояло ПО. Как давно обновлялись?
Буду оч благодарен. И буду благодарен еще больше, если скинете логи.

[Sly_tom_cat]

Перенесу ка я это в безопасность.
Во-первых там уже есть недявняя подобная тема, намек ТС ее посмотреть. 
Во-вторых - там могут на тему обратить внимание те кто может помочь.

[tork]

Простите, забыл о главном:
Ubuntu Server 12.04 LTS x62

Устанавливал такие пакеты:

Код: [Выделить]

apt-get update
apt-get install openssh-server
apt-get install openjdk-6-jre
apt-get install apache2
apt-get install mysql-server
apt-get install php5
apt-get install php5-mysql
apt-get install php5-cgi
apt-get install phpmyadmin
apt-get install mc
apt-get install tofrodos
apt-get install ia32-libs
apt-get install webmin
Как меня могли взломать, если стоит ограничение по айпи на пару портов, а все остальные закрыты.

Какой именно надо файл логов?

[Sly_tom_cat]

ТС, повтор темы - нарушение правил форума.

Объединил со старой.