Сервер заблокирован поставщиком, отправляющим пакеты UDP на определенный IP -адрес - что это значит?

Question

Сервер заблокирован поставщиком, отправляющим пакеты UDP на определенный IP -адрес - что это значит?

Мой веб-сервер недавно был заблокирован моим провайдером по той причине, что он выполнял атаку на другой сервер. Письмо содержало следующий журнал:

08:26:39.219940 68:05:ca:07:02:01 > 78:fe:3d:46:e8:a5, ethertype IPv4 
(0x0800), length 1057: 5.9.97.70.46156 > 180.97.163.74.80: UDP, length 1015
08:26:39.221584 68:05:ca:07:02:01 > 78:fe:3d:46:e8:a5, ethertype IPv4 
(0x0800), length 1061: 5.9.97.70.55018 > 180.97.163.74.80: UDP, length 1019
08:26:39.221669 68:05:ca:07:02:01 > 78:fe:3d:46:e8:a5, ethertype IPv4 
(0x0800), length 1053: 5.9.97.70.36559 > 180.97.163.74.80: UDP, length 1011

...

Я понятия не имею, что могло произойти, и, очевидно, никто не смог войти в систему. Если я правильно понимаю, это исходящий трафик.

Означает ли этот журнал, что сервер преднамеренно атаковал на другом сервере, или это поведение может иметь какое-либо другое объяснение? Я потратил несколько дней на то, чтобы выяснить, в чем может быть проблема, поэтому я был бы очень признателен, если бы кто-то, кто сталкивался с подобной ситуацией, мог поделиться со мной своими соображениями.

Брандмауэр должен был быть активным.

-1

security log-files attacks

Источник

user3553828 18 июл '15 в 17:55

1 ответ

Другие вопросы по тегам security log-files attacks

kasperd 21 июл '15 в 22:06 2015-07-21 22:06 · Answer 1 · 2015-07-21 22:06

В вашем вопросе пропущена информация о том, где был выполнен этот захват пакетов. Однако, судя по тому, что исходный MAC-адрес зарегистрирован как Intel Corporate (начиная с 68:05:CA), а конечный MAC-адрес зарегистрирован как Juniper Networks (начиная с 78:FE:3D), похоже, что это было зафиксировано по ссылке от вашего сервер до первого роутера.

Если это так, то исключается вероятность того, что вас просто обвиняют в том, что пакеты были подделаны кем-то еще в Интернете.

UDP-пакеты, отправляемые на UDP-порт 80, не похожи на атаку. Мне неизвестно о каких-либо широко развернутых сервисах, прослушивающих порт UDP 80. Атаки обычно направлены на широко развернутые сервисы.

Однако из-за этого пакеты кажутся подозрительными, поскольку кажется, что назначение этих пакетов - это законный сервис. Кроме того, поскольку ваш сервер размещен в Германии, маловероятно, что ваша база пользователей будет находиться в Китае, что делает эти пакеты еще более подозрительными.

Что это за пакеты - это вопрос догадок, но возможно ваш сервер стал частью ботнета и 180.97.163.74 может быть управляющим узлом. Это, конечно, чистое предположение. Я ожидаю, что полное письмо будет содержать дополнительную информацию, объясняющую, почему они считают этот трафик проблемой.