Détecter un processus qui effectue une attaque DDoS sortante [en double]

Cette question a déjà une réponse ici:

  • Comment puis-je traiter un serveur compromis? 13 réponses

Mon hébergeur m'a informé que mon serveur Fedora est la source d'une attaque DDoS sur quelqu'un. L'hébergeur n'a donné aucune autre information. Comment puis-je savoir quel processus attaque-t-il pour que je puisse l'arrêter? Je me rends compte que c'est vague, mais je pense que si je peux voir le trafic sortant d'une façon ou d'une autre, je pourrais trouver le processus qui l'envoie.

J'apprécie que je devrais trouver le point d'entrée une fois que j'ai arrêté l'attaque, et je devrais probablement ré-image du serveur avec des mises à jour.

Merci d'avance.

Vous pouvez utiliser quelque chose comme iptraf (disponible dans un repo près de chez vous). Cela vous indiquera quels ports sont utilisés sur votre système et à quel taux. Une fois que vous connaissez les ports utilisés, vous pouvez ensuite utiliser netstat pour trouver le processus associé à chaque port. Donc, si par exemple vous identifiez que votre port 6666 est actif, vous pouvez utiliser

netstat -tunp | grep 6666 tcp 0 77352 192.168.254.188:56405 192.168.254.181:6666 ESTABLISHED 30072/nc 

Comme vous pouvez le voir dans cette démo, pid 30072 utilise le port.

Veuillez noter que vous ne trouverez rien du tout. Il est possible que votre système ait été compromis et que les outils que vous utilisez ne donnent pas les réponses correctes qu'ils devraient. Même l'utilisation du système pour une analyse plus poussée pourrait entraîner d'autres problèmes s'il existe une porte dérobée et que vous entrez vos mots de passe par exemple.

La seule solution est d'arrêter le serveur et de le considérer comme compromis. Si vous souhaitez trouver la source de manière sécuritaire, vous deviez examiner le système dans un environnement isolé.