Форум Сайтостроение Администрирование серверов

Ваш сервер отключен в связи с исходящей ДОС атакой

12
BasePelleta
На сайте с 29.05.2008
Offline
120
BasePelleta
1535
Ваш сервер отключен в связи с исходящей ДОС атакой.
Проверьте систему антивирусом , поменяйте пароли ...

16:51:02.770498 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770505 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770514 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770524 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770534 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770542 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770550 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770559 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770566 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770583 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770591 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770607 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770616 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770625 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770633 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770640 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770650 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770658 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770666 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770694 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770703 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770711 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770720 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770728 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770736 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770745 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770755 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770775 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770783 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770806 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770814 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770823 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770831 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770840 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770848 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770857 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770865 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770874 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770881 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770890 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770899 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770907 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770915 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770924 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770947 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770958 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770966 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770975 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770990 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770998 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771013 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771023 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771031 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771052 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771060 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771068 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771077 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771086 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771094 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771101 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771109 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771117 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771125 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771133 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771141 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771149 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771157 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771172 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771182 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771191 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771199 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771207 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771215 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771223 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771231 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771239 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771248 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771257 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771264 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771274 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771283 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771291 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771299 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771307 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771316 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771324 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771340 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

Может кто сталкивался с таким?

Как с этим бороться?

Den73
На сайте с 26.06.2010
Offline
523
Den73
#1

У вас фаервола нету? xd блокируйте и ищите источник.

N
На сайте с 17.09.2009
Offline
35
nerealny
#2

За результат не ручаюсь на 100% но попробывать помочь могу, напишите в личку ваш icq.

Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#3

Скорее всего подломили сервак

ТС пожадничал денег на сисадмина и все делал сам

Вот и результат

Не стоит плодить сущности без необходимости
Wolfnet
На сайте с 26.08.2010
Offline
6
Wolfnet
#4

Смотреть список процессов, затем lsof с параметрами -i использовать для поиска нужного.

BasePelleta
На сайте с 29.05.2008
Offline
120
BasePelleta
#5

Вредоносный процесс не удается отловить, т.к. он запускается с определенным интервалом!

netstat -p | grep 8080

Ничего не выводит на данный момент!

P
На сайте с 08.03.2007
Offline
250
Pilat
#6

посмотрите как он мог запуститься. cron, логи апача на указанное время

Блог (http://www.pilat66.ru/)
BasePelleta
На сайте с 29.05.2008
Offline
120
BasePelleta
#7
Посмотрите как он мог запуститься. cron, логи апача на указанное время

Благодарю за совет!

zexis
На сайте с 09.08.2005
Offline
388
zexis
#8

1) Закройте фаерволом весь исходящий и входящий трафик.

Оставьте разрешение лишь для портов которые нужны для работы сайта.

На служебные порты 21,22, тоже от всех закройте доступ фаерволом. Оставьте лишь доступ со своего IP

iptables вам в помощь.

2) найдите дырки, через которые взломалт сайт.

3) переустановите ОС для гарантии.

Facebook обновил функционал Бизнес-менеджера Infra Mail.Ru выходит в Яндекс планирует выпустить на
BasePelleta
На сайте с 29.05.2008
Offline
120
BasePelleta
#9

zexis,

весьма кординальные меры!

Я думаю начинать с

Оставьте разрешение лишь для портов которые нужны для работы сайта.

Правильно ли я пишу правила для iptables?

iptables -A OUTPUT -o eth0 -p tcp -m owner --uid-owner 48 --dport 80 –j ACCEPT (nginx)

iptables -A OUTPUT -o eth0 -p tcp -m owner --uid-owner 48 --dport 8080 –j ACCEPT (appache)

iptables -A OUTPUT -o eth0 -p tcp -m owner --uid-owner 48 --dport 443 -j ACCEPT (HTTPS)

iptables -A OUTPUT -o eth0 -p tcp -m owner --uid-owner 48 --dport 21 -j ACCEPT (ftp)

iptables -A OUTPUT -o eth0 -p tcp -m owner --uid-owner 48 --dport 20 -j ACCEPT (ssh)

iptables -A OUTPUT -o eth0 -p udp -m owner --uid-owner 48 --dport 43 -j ACCEPT (WHOIS)

iptables -A OUTPUT -o eth0 -p udp -m owner --uid-owner 48 --dport 53 -j ACCEPT (named)

iptables -A OUTPUT -o eth0 -p udp -m owner --uid-owner 48 --dport 4949 -j ACCEPT (Munin)

iptables -A OUTPUT -o eth0 -p udp -m owner --uid-owner 48 -j DROP

Согласно моему топу!

1 root 18 0 2148 652 564 S 0.0 0.1 0:00.20 init

1806 root 15 -4 2236 552 344 S 0.0 0.1 0:00.00 udevd

3151 root 15 0 1804 572 476 S 0.0 0.1 0:00.45 syslogd

3183 named 18 0 69756 3544 1960 S 0.0 0.7 0:03.36 named

3228 root 15 0 7168 1068 668 S 0.0 0.2 0:00.23 sshd

3238 root 18 0 2824 864 700 S 0.0 0.2 0:00.00 xinetd

3249 root 16 0 5280 520 248 S 0.0 0.1 0:00.00 vsftpd

3281 root 18 0 3700 1300 1128 S 0.0 0.2 0:00.00 mysqld_safe

3321 mysql 15 0 42568 10m 5096 S 0.0 2.0 0:34.75 mysqld

3345 root 18 0 1952 580 460 S 0.0 0.1 0:00.00 dovecot

3352 root 18 0 7812 1852 1408 S 0.0 0.4 0:00.00 dovecot-auth

3382 dovecot 18 0 4968 1824 1512 S 0.0 0.3 0:00.00 pop3-login

3383 dovecot 18 0 4968 1824 1512 S 0.0 0.3 0:00.00 pop3-login

3384 dovecot 18 0 4968 1824 1512 S 0.0 0.3 0:00.00 pop3-login

3385 root 18 0 9368 2432 1316 S 0.0 0.5 0:00.10 sendmail

3431 root 18 0 41704 8980 4712 S 0.0 1.7 0:00.09 httpd

3454 root 18 0 18916 1412 368 S 0.0 0.3 0:00.00 nginx

3457 nginx 18 0 18916 2296 976 S 0.0 0.4 0:03.25 nginx

3466 root 15 0 4496 1116 568 S 0.0 0.2 0:00.01 crond

3504 xfs 18 0 3384 1144 736 S 0.0 0.2 0:00.00 xfs

3514 root 18 0 2356 432 312 S 0.0 0.1 0:00.00 atd

3523 root 18 0 5668 716 436 S 0.0 0.1 0:00.00 saslauthd

3524 root 18 0 5668 444 164 S 0.0 0.1 0:00.00 saslauthd

3540 root 18 0 8472 5060 1572 S 0.0 1.0 0:00.20 munin-node

6121 root 15 0 36028 8060 4652 S 0.0 1.5 0:01.20 ispmgr

7967 root 15 0 10004 2852 2304 S 0.0 0.5 0:00.02 sshd

8014 root 18 0 3836 1532 1244 S 0.0 0.3 0:00.00 bash

8039 root 18 0 2280 1024 824 R 0.0 0.2 0:00.00 top

20274 apache 15 0 43132 17m 11m S 0.0 3.5 1:03.86 httpd

20431 apache 15 0 42812 16m 11m S 0.0 3.3 1:03.73 httpd

24206 apache 15 0 43860 17m 10m S 0.0 3.4 1:01.03 httpd

32256 apache 15 0 43836 16m 9.8m S 0.0 3.2 0:21.89 httpd

Предельно минимальный расход ресурсов "Этот сайт может нанести VPS встал сервер
Sov1et
На сайте с 02.08.2010
Offline
3
Sov1et
#10

Тои порты которые нада открывать связаны довольно посредственно.

И нет -- вы не правильно написали правила.

Linux-админ
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий