Cần điều tra lý do máy chủ của chúng tôi DDOSing nhà cung cấp dịch vụ máy chủ của chúng tôi

Xin chào mọi người và hy vọng ai đó có thể cho tôi bước đầu tiên để tôi có thể bắt đầu điều tra lý do để biết tại sao máy chủ Linux của chúng tôi dường như đã tấn công nhà cung cấp dịch vụ của chúng tôi nơi máy chủ được lưu trữ.

Hôm nay, tôi nhận được e-mail rằng một trong những máy chủ của chúng tôi đã xâm phạm một trong những khách hàng của nhà cung cấp dịch vụ của chúng tôi như một phần của mạng botnet DDoS phối hợp, vì vậy họ phải vô hiệu hóa nó để giảm thiểu sự cố và ít nhiều ảnh hưởng đến hoạt động kinh doanh của chúng tôi đã xuống. Họ đã xem xét các bản chụp từ cuộc tấn công này và không tin rằng IP của chúng tôi địa chỉ đã bị giả mạo dựa trên số lượng máy chủ riêng biệt hạn chế tấn công họ.

Đây là máy chủ Linux của chúng tôi lưu trữ nhiều dịch vụ khác nhau được kết nối với các máy chủ nội bộ khác của chúng tôi trong cơ sở hạ tầng.

Tôi cần điều tra và có thể quan sát cuộc tấn công có khả năng làm bão hòa bộ điều hợp mạng của nguồn. Vì thiết bị nguồn là thành viên của một mạng botnet đang được sử dụng cho nhiều cuộc tấn công và tôi sẽ thấy nhiều cuộc tấn công khác sự bùng nổ bí ẩn của lưu lượng truy cập ra nước ngoài NHƯNG VẤN ĐỀ LÀ:

Chúng tôi không cài đặt bất kỳ giám sát nào trên máy chủ này nên tôi không thể giám sát lưu lượng đi ra từ máy chủ vì vậy câu hỏi là:

Có thể bằng cách nào đó theo dõi lưu lượng truy cập ra bên ngoài đang tấn công khách hàng của nhà cung cấp dịch vụ của chúng tôi không trong Linux? Bất kỳ lệnh nào có thể giúp tôi? Có lẽ có những bản ghi được ghi lại?

Tôi có thông tin về dấu thời gian cuối cùng (ở bên trái). Nguồn và địa chỉ IP đích, giao thức và cổng. Thật không may, tôi không biết bắt đầu từ đâu vì máy chủ này không có bất kỳ sự giám sát nào và tôi không có kiến ​​​​thức tuyệt vời về Linux vì hiện tại tôi khá tuyệt vọng và tất nhiên, mọi thứ cần phải diễn ra ngay trước Giáng sinh.

Bất kỳ thông tin sẽ được vui lòng đánh giá cao.

CHỈNH SỬA: Tôi đã sử dụng tạp chí bởi một dấu thời gian nhất định và bây giờ tôi có thể nhìn thấy rằng có rất nhiều nỗ lực cố gắng kết nối với ssh nhưng không thành công khi phiên một lần được mở cho người dùng root đã cho phản ứng:

CMD ( [ -x /usr/lib/php/sessionclean ] && /usr/lib/php/sessionclean)

Sau đó, phiên cho người dùng này bị đóng.

Bất cứ ai cũng biết điều này có nghĩa là gì?

Nói chung, việc sử dụng băng thông mạng không được ghi lại hoặc giám sát trên các máy chủ Linux theo mặc định. Nếu trước đây bạn không cài đặt hệ thống giám sát thì bạn không có dữ liệu đó.

Nếu bạn không đăng nhập vào thời điểm đó, bạn sẽ không có thông tin chi tiết. Chắc chắn không phải ở mức độ bằng chứng cho thấy máy chủ của bạn đã gửi một số luồng nhất định. Trong tương lai, hãy cân nhắc bật tính năng giám sát và ghi nhật ký, chẳng hạn như bật tính năng ghi nhật ký các kết nối mới qua tường lửa.

Sao lưu máy chủ hoạt động sai trong trường hợp bạn sẽ thực hiện pháp y trên đó. Không cấp (bản sao) quyền truy cập mạng máy chủ này và không bao giờ cấp lại internet. Nó có khả năng bị xâm phạm.

Phá hủy và xây dựng lại máy chủ từ các nguồn tốt đã biết. Chẳng hạn như cài đặt một bản sao mới của hệ điều hành. Khôi phục dữ liệu từ bản sao lưu.

Để theo dõi, hãy nhận trợ giúp thực hiện điều tra nguyên nhân gốc rễ chi tiết về cách bạn có thể đã gửi lưu lượng truy cập độc hại. Đăng nhập ssh thành công, bằng chứng về phần mềm độc hại, phần mềm đã cài đặt bị thiếu các bản vá bảo mật, xem xét các quy trình được nhà cung cấp dịch vụ lưu trữ của bạn mô tả. Tuy nhiên, chúng tôi không thể trợ giúp về các chi tiết trong định dạng Hỏi & Đáp này.