Fallout от очевидной атаки dos - httpd пытается связаться с атакующим
У меня есть сервер, на котором запущено несколько веб-хостов (все с внутренним управлением), что было тем, что выглядело как атака дос вчера вечером. Я заблокировал атакующий IP в IPTABLES для цепочек ввода и вывода. Это, казалось, решило проблему, и я пошел домой.
Этим утром сервер снова умер - на этот раз из netstat кажется, что он отправлял несколько SYN на атакующий IP. Очевидно, что они были отброшены цепочкой IPTABLES OUTPUT, но в стеке их было так много, что это не удалось.
Я обеспокоен тем, что сервер отправляет данные злоумышленнику. Предположительно он пытается установить новое исходящее соединение с IP-адресом злоумышленника через порт 80, но почему? Означает ли это, что сервер взломан? Как я могу найти, что вызывает это? Я пробовал netstat -p, но он показывает владельца исходящих попыток как httpd.
В веб-каталоге есть несколько больших сайтов, поэтому моя попытка поиска IP-адреса злоумышленника во всех веб-файлах займет несколько дней.
Что делать?
Спасибо заранее....
1 ответ
Сервер / виртуальный хост может быть скомпрометирован, и сайт может попытаться загрузить дополнительные оболочки / бэкдоры / инструкции. Сложно сказать, как узнать, какой виртуальный хост есть.
Если вы не можете выполнить grep на производственном сервере, вы можете попробовать выполнить grep для резервного копирования. То же самое с журналами.
Или просто посмотрите на файлы, измененные за последние 24-48 дней.
Если httpd=Apache, вы можете попытаться получить pid из netstat, а затем попытаться сопоставить выходные данные о состоянии сервера (если IP-адрес сброшен, то этот поток на сервере может работать долго, пока не истечет время ожидания wget/curl/ независимо от времени ожидания)).
Вы также можете попытаться найти запросы с очень большим временем ответа в журналах httpd (вам нужно изменить формат журнала, так как обычно ни один веб-сервер не регистрирует время запроса)