Jaka jest prawdopodobna przyczyna bardzo niskiego ruchu przychodzącego i wysokiego ruchu wychodzącego?

9

Wczoraj nasz serwer Digital Ocean napotkał coś, co wyglądało jak atak. Ruch wychodzący nagle wzrósł do 700 Mb / s, podczas gdy ruch przychodzący utrzymał się na poziomie około 0,1 Mb / s i nie wzrósł ani razu. Ruch trwał kilka minut, dopóki Digital Ocean nie odciął naszego serwera od sieci, zakładając, że wykonujemy DoS (co jest rozsądne).

Mam dwa założenia: albo ktoś włamał się na nasz serwer (po ataku zdałem sobie sprawę, że mój kolega włączył logowanie SSH za pomocą hasła), albo istnieje pewien rodzaj ataku, o którym nie wiem.

Czy ktoś może mi wyjaśnić tę sytuację? Jeśli rzeczywiście istnieje rodzaj DoS, którego ruch wygląda tak, prosimy o edukację.

security denial-of-service Krzysztof Kraszewski
źródło
1
serverfault.com/questions/218005/…
Jonas Schäfer
2
Jeśli korzystasz z VestaCP, koniecznie spójrz na tę stronę DigitalOcean .
Sevvlor
2
@Sevvlor o boże. Nie miałem pojęcia, że ​​mój kolega zainstalował to na naszym serwerze. Dzięki.
Krzysztof Kraszewski
Również @JonasWielicki dziękuję za link, kiedyś okaże się przydatny.
Krzysztof Kraszewski

Odpowiedzi:

20

Jedną z prawdopodobnych możliwości jest atak wzmacniający. Jeśli korzystasz z otwartego programu rekurencyjnego DNS (istnieją inne protokoły, z którymi możesz to zrobić), na przykład możesz otrzymać bardzo mały pakiet UDP, który ma sfałszowany adres IP. Serwer następnie generuje dużą odpowiedź i wysyła ją do ofiary, sądząc, że jest to uzasadniona prośba.

Inną możliwością jest to, że ktoś wyodrębniał dane z Twojej sieci. Gdyby ktoś dostał się na twój serwer i zwalniał każdy bajt, jaki mógł znaleźć, to też tak wyglądałoby.

Nie ma sposobu, aby dowiedzieć się, który to był bez przeprowadzenia dochodzenia i mając nadzieję, że cokolwiek się wydarzyło, pozostawiło dowody. Jeśli to ta ostatnia (eksfiltracja), prawdopodobnie usunęli swoje ścieżki najlepiej, jak potrafili.

Mark Henderson
źródło
1
Dzięki. Jestem w korespondencji z DO, mam nadzieję, że będą mieli pojęcie o tym, co się dzieje. Według mojego dochodzenia prawdopodobnie ktoś uzyskał dostęp do naszego serwera za pośrednictwem SSH. Przyjmuję twoją odpowiedź, ponieważ jest to najbardziej precyzyjna odpowiedź na moje pytanie, chociaż inne odpowiedzi są również bardzo przydatne.
Krzysztof Kraszewski,
2
@KrzysztofKraszewski O ile twój kolega nie używa / nie używa naprawdę hasła braindead, SSH NIE wydaje mi się prawdopodobnym kandydatem. Zdalne brutalne wymuszanie jest bardzo wolne i głośne.
Czy
Jeśli serwer został przejęty, atak wzmacniający wydaje się bardzo mało prawdopodobny. Po co zawracać sobie głowę tak trywialnym atakiem, gdy zrootowałeś serwer? A hasła braindead są niezwykle powszechne.
Phil Frost
1
@ PhilFrost Wspomniałem o ataku wzmacniającym, że możliwe jest, że OP uruchamia coś innego, co jest po prostu używane w ten sposób i że serwer nie został naruszony. DNS jest najczęstszy, ale jest też MOTD i inne dziwne stare protokoły, które mogą być nadużywane w ten sposób. Jest to możliwe rozwiązanie, które pasuje do dziwnego wzorca ruchu.
Mark Henderson
3
memcached to szczególnie dramatyczny niedawny atak
polegający na wzmocnieniu
10

Zgadzam się z możliwością ataku wzmacniającego. Najprostszym sposobem na poradzenie sobie z tym jest skorzystanie z bezpłatnej zapory chmurowej DigitalOcean .

Zezwalaj tylko na połączenia przychodzące SSH, HTTP i HTTPS. Jeśli to możliwe, zezwalaj tylko na SSH z zaufanych adresów IP.

Możesz to zrobić za pomocą zapory na maszynie wirtualnej, rozwiązanie DO jest po prostu łatwiejsze.

Mike M.
źródło
Dzięki za wskazówkę, poświęcę trochę czasu na zabezpieczenie naszych serwerów (tak jak powinienem chwilę temu).
Krzysztof Kraszewski,
5

Powinieneś zapytać Digital Ocean. Nie wyłączają serwerów tylko z powodu dużego ruchu wychodzącego: to zamknęłoby większość serwerów. Na przykład serwer WWW obsługujący coś popularnego.

Zamiast tego zamknęli serwer, ponieważ charakter ruchu wyglądał złośliwie. W związku z tym prawdopodobnie mają pojęcie, co to było.

W przeciwnym razie będziesz musiał zbadać siebie. Być może, jeśli host nadal działa, nadal próbuje wysłać ruch, który jest odrzucany przez Digital Ocean. W takim przypadku można to zaobserwować za pomocą zrzutu pakietów. Lub możesz znaleźć wskazówki w logach systemowych. Niestety może to być jedna z milionów rzeczy, więc spekulacje na temat przyczyny braku takiego dochodzenia są daremne.

Phil Frost
źródło
Sprawdź mój komentarz pod odpowiedzią Mike M. Wygląda na to, że ktoś uzyskał dostęp do naszego serwera i użył go do przeprowadzenia ataku. Dziękuję za Twoją odpowiedź.
Krzysztof Kraszewski,