Ваш сервер отключен в связи с исходящей ДОС атакой

120

BasePelleta

13 сентября 2010, 22:53

1535

Ваш сервер отключен в связи с исходящей ДОС атакой.
Проверьте систему антивирусом , поменяйте пароли ...

16:51:02.770498 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770505 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770514 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770524 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770534 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770542 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770550 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770559 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770566 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770583 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770591 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770607 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770616 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770625 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770633 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770640 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770650 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770658 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770666 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770694 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770703 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770711 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770720 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770728 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770736 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770745 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770755 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770775 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770783 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770806 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770814 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770823 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770831 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770840 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770848 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770857 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770865 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770874 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770881 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770890 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770899 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770907 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770915 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770924 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770947 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770958 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770966 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770975 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770990 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.770998 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771013 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771023 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771031 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771052 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771060 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771068 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771077 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771086 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771094 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771101 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771109 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771117 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771125 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771133 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771141 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771149 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771157 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771172 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771182 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771191 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771199 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771207 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771215 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771223 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771231 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771239 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771248 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771257 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771264 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771274 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771283 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771291 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771299 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771307 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771316 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771324 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

16:51:02.771340 IP 194.162.219.109.48823 > 69.81.63.187.8080: UDP, length 50

Может кто сталкивался с таким?

Как с этим бороться?

523

Den73

13 сентября 2010, 22:55

#1

У вас фаервола нету? xd блокируйте и ищите источник.

N

35

nerealny

14 сентября 2010, 03:24

#2

За результат не ручаюсь на 100% но попробывать помочь могу, напишите в личку ваш icq.

822

Andreyka

14 сентября 2010, 06:31

#3

Скорее всего подломили сервак

ТС пожадничал денег на сисадмина и все делал сам

Вот и результат

Не стоит плодить сущности без необходимости

6

Wolfnet

14 сентября 2010, 07:49

#4

Смотреть список процессов, затем lsof с параметрами -i использовать для поиска нужного.

120

BasePelleta

14 сентября 2010, 12:41

#5

Вредоносный процесс не удается отловить, т.к. он запускается с определенным интервалом!

netstat -p | grep 8080

Ничего не выводит на данный момент!

P

250

Pilat

14 сентября 2010, 12:47

#6

посмотрите как он мог запуститься. cron, логи апача на указанное время

Блог (http://www.pilat66.ru/)

120

BasePelleta

14 сентября 2010, 13:20

#7

Посмотрите как он мог запуститься. cron, логи апача на указанное время

Благодарю за совет!

388

zexis

14 сентября 2010, 13:41

#8

1) Закройте фаерволом весь исходящий и входящий трафик.

Оставьте разрешение лишь для портов которые нужны для работы сайта.

На служебные порты 21,22, тоже от всех закройте доступ фаерволом. Оставьте лишь доступ со своего IP

iptables вам в помощь.

2) найдите дырки, через которые взломалт сайт.

3) переустановите ОС для гарантии.

Facebook обновил функционал Бизнес-менеджера Infra Mail.Ru выходит в Яндекс планирует выпустить на

120

BasePelleta

14 сентября 2010, 19:48

#9

zexis,

весьма кординальные меры!

Я думаю начинать с

Оставьте разрешение лишь для портов которые нужны для работы сайта.

Правильно ли я пишу правила для iptables?

iptables -A OUTPUT -o eth0 -p tcp -m owner --uid-owner 48 --dport 80 –j ACCEPT (nginx)

iptables -A OUTPUT -o eth0 -p tcp -m owner --uid-owner 48 --dport 8080 –j ACCEPT (appache)

iptables -A OUTPUT -o eth0 -p tcp -m owner --uid-owner 48 --dport 443 -j ACCEPT (HTTPS)

iptables -A OUTPUT -o eth0 -p tcp -m owner --uid-owner 48 --dport 21 -j ACCEPT (ftp)

iptables -A OUTPUT -o eth0 -p tcp -m owner --uid-owner 48 --dport 20 -j ACCEPT (ssh)

iptables -A OUTPUT -o eth0 -p udp -m owner --uid-owner 48 --dport 43 -j ACCEPT (WHOIS)

iptables -A OUTPUT -o eth0 -p udp -m owner --uid-owner 48 --dport 53 -j ACCEPT (named)

iptables -A OUTPUT -o eth0 -p udp -m owner --uid-owner 48 --dport 4949 -j ACCEPT (Munin)

iptables -A OUTPUT -o eth0 -p udp -m owner --uid-owner 48 -j DROP

Согласно моему топу!

1 root 18 0 2148 652 564 S 0.0 0.1 0:00.20 init

1806 root 15 -4 2236 552 344 S 0.0 0.1 0:00.00 udevd

3151 root 15 0 1804 572 476 S 0.0 0.1 0:00.45 syslogd

3183 named 18 0 69756 3544 1960 S 0.0 0.7 0:03.36 named

3228 root 15 0 7168 1068 668 S 0.0 0.2 0:00.23 sshd

3238 root 18 0 2824 864 700 S 0.0 0.2 0:00.00 xinetd

3249 root 16 0 5280 520 248 S 0.0 0.1 0:00.00 vsftpd

3281 root 18 0 3700 1300 1128 S 0.0 0.2 0:00.00 mysqld_safe

3321 mysql 15 0 42568 10m 5096 S 0.0 2.0 0:34.75 mysqld

3345 root 18 0 1952 580 460 S 0.0 0.1 0:00.00 dovecot

3352 root 18 0 7812 1852 1408 S 0.0 0.4 0:00.00 dovecot-auth

3382 dovecot 18 0 4968 1824 1512 S 0.0 0.3 0:00.00 pop3-login

3383 dovecot 18 0 4968 1824 1512 S 0.0 0.3 0:00.00 pop3-login

3384 dovecot 18 0 4968 1824 1512 S 0.0 0.3 0:00.00 pop3-login

3385 root 18 0 9368 2432 1316 S 0.0 0.5 0:00.10 sendmail

3431 root 18 0 41704 8980 4712 S 0.0 1.7 0:00.09 httpd

3454 root 18 0 18916 1412 368 S 0.0 0.3 0:00.00 nginx

3457 nginx 18 0 18916 2296 976 S 0.0 0.4 0:03.25 nginx

3466 root 15 0 4496 1116 568 S 0.0 0.2 0:00.01 crond

3504 xfs 18 0 3384 1144 736 S 0.0 0.2 0:00.00 xfs

3514 root 18 0 2356 432 312 S 0.0 0.1 0:00.00 atd

3523 root 18 0 5668 716 436 S 0.0 0.1 0:00.00 saslauthd

3524 root 18 0 5668 444 164 S 0.0 0.1 0:00.00 saslauthd

3540 root 18 0 8472 5060 1572 S 0.0 1.0 0:00.20 munin-node

6121 root 15 0 36028 8060 4652 S 0.0 1.5 0:01.20 ispmgr

7967 root 15 0 10004 2852 2304 S 0.0 0.5 0:00.02 sshd

8014 root 18 0 3836 1532 1244 S 0.0 0.3 0:00.00 bash

8039 root 18 0 2280 1024 824 R 0.0 0.2 0:00.00 top

20274 apache 15 0 43132 17m 11m S 0.0 3.5 1:03.86 httpd

20431 apache 15 0 42812 16m 11m S 0.0 3.3 1:03.73 httpd

24206 apache 15 0 43860 17m 10m S 0.0 3.4 1:01.03 httpd

32256 apache 15 0 43836 16m 9.8m S 0.0 3.2 0:21.89 httpd

Предельно минимальный расход ресурсов "Этот сайт может нанести VPS встал сервер

3

Sov1et

15 сентября 2010, 07:11

#10

Тои порты которые нада открывать связаны довольно посредственно.

И нет -- вы не правильно написали правила.

Linux-админ

Что такое Power BI и зачем это нужно бизнесу

В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи