Détecter un processus qui effectue une attaque DDoS sortante [en double]

Cette question a déjà une réponse ici:

  • Comment puis-je traiter un serveur compromis? 13 réponses

Mon hébergeur m'a informé que mon serveur Fedora est la source d'une attaque DDoS sur quelqu'un. L'hébergeur n'a donné aucune autre information. Comment puis-je savoir quel processus attaque-t-il pour que je puisse l'arrêter? Je me rends compte que c'est vague, mais je pense que si je peux voir le trafic sortant d'une façon ou d'une autre, je pourrais trouver le processus qui l'envoie.

J'apprécie que je devrais trouver le point d'entrée une fois que j'ai arrêté l'attaque, et je devrais probablement ré-image du serveur avec des mises à jour.

Merci d'avance.

2 Solutions collect form web for “Détecter un processus qui effectue une attaque DDoS sortante [en double]”

Vous pouvez utiliser quelque chose comme iptraf (disponible dans un repo près de chez vous). Cela vous indiquera quels ports sont utilisés sur votre système et à quel taux. Une fois que vous connaissez les ports utilisés, vous pouvez ensuite utiliser netstat pour trouver le processus associé à chaque port. Donc, si par exemple vous identifiez que votre port 6666 est actif, vous pouvez utiliser

netstat -tunp | grep 6666 tcp 0 77352 192.168.254.188:56405 192.168.254.181:6666 ESTABLISHED 30072/nc 

Comme vous pouvez le voir dans cette démo, pid 30072 utilise le port.

Veuillez noter que vous ne trouverez rien du tout. Il est possible que votre système ait été compromis et que les outils que vous utilisez ne donnent pas les réponses correctes qu'ils devraient. Même l'utilisation du système pour une analyse plus poussée pourrait entraîner d'autres problèmes s'il existe une porte dérobée et que vous entrez vos mots de passe par exemple.

La seule solution est d'arrêter le serveur et de le considérer comme compromis. Si vous souhaitez trouver la source de manière sécuritaire, vous deviez examiner le système dans un environnement isolé.

  • Sécurité Apache - liste tous les gestionnaires / actions possibles
  • Faire face aux attaques HTTP w00tw00t
  • Existe-t-il une alternative à / dev / urandom?
  • Quand je dois administrer un serveur Linux existant, quel est le meilleur moyen de vérifier s'il est sécurisé?
  • Le gestionnaire informatique se déconnecte - Que puis-je verrouiller?
  • Où puis-je find des servers dédiés de haute security?
  • Linux-KVM / iptables: prévient la falsification d'invité en associant l'adresse ip + mac sur le pont?
  • Politique d'âge / complexité du mot de passe utilisateur
  • Êtes-vous prêt à abandonner l'access root?
  • Exemple de sécurité SELinux de la vie réelle?
  • Des solutions biométriques à balayage d'empreintes digitales et des solutions d'accès / assistance?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.