สวัสดีทุกคนและหวังว่าจะมีใครบอกขั้นตอนแรกให้ฉันได้ ซึ่งฉันสามารถเริ่มตรวจสอบเหตุผลที่จะรู้ว่าเหตุใดเซิร์ฟเวอร์ Linux ของเราจึงดูเหมือนจะโจมตีผู้ให้บริการของเราที่เซิร์ฟเวอร์โฮสต์อยู่
วันนี้ฉันได้รับอีเมลว่าหนึ่งในเซิร์ฟเวอร์ของเราได้ทำการประนีประนอมกับหนึ่งในลูกค้าผู้ให้บริการของเราซึ่งเป็นส่วนหนึ่งของบอตเน็ต DDoS ที่ประสานงานกัน ดังนั้นพวกเขาจึงต้องกำหนดเส้นทางให้เป็นโมฆะเพื่อลดปัญหา ดังนั้นมันจึงหยุดทำงานและธุรกิจทั้งหมดของเราไม่มากก็น้อย ถูกลง พวกเขาตรวจสอบการจับจากการโจมตีนี้และไม่เชื่อว่า IP ของเรา ที่อยู่ถูกปลอมแปลงโดยอิงจากโฮสต์ที่แตกต่างกันในจำนวนจำกัด โจมตีพวกเขา
นี่คือเซิร์ฟเวอร์ Linux ของเราที่โฮสต์บริการต่างๆ มากมายที่เชื่อมต่อกับเซิร์ฟเวอร์ภายในอื่นๆ ของเราในโครงสร้างพื้นฐาน
ฉันต้องตรวจสอบและสามารถสังเกตการโจมตีที่น่าจะอิ่มตัวอะแดปเตอร์เครือข่ายของต้นทาง เนื่องจากอุปกรณ์ต้นทางเป็นสมาชิกของ บ็อตเน็ตที่ใช้สำหรับการโจมตีจำนวนมากและฉันควรจะเห็นอื่นๆ การจราจรขาออกระเบิดอย่างลึกลับ แต่ปัญหาคือ:
เราไม่มีการตรวจสอบใด ๆ บนเซิร์ฟเวอร์นี้ ดังนั้นฉันจึงไม่สามารถตรวจสอบปริมาณการใช้งานที่ออกจากเซิร์ฟเวอร์ได้ คำถามคือ:
เป็นไปได้ไหมที่จะติดตามทราฟฟิกขาออกที่โจมตีลูกค้าของผู้ให้บริการของเรา ในลินุกซ์? คำสั่งใดบ้างที่สามารถช่วยฉันได้ อาจมีบันทึกบันทึกไว้?
ฉันมีข้อมูลเกี่ยวกับเวลาประทับล่าสุด (ด้านซ้ายสุด) แหล่งที่มา และที่อยู่ IP ปลายทาง โปรโตคอล และพอร์ต น่าเสียดายที่ฉันไม่รู้ว่าจะเริ่มต้นจากตรงไหน เนื่องจากเซิร์ฟเวอร์นี้ไม่มีการตรวจสอบใด ๆ และฉันไม่มีความรู้ด้าน Linux มากนัก เนื่องจากตอนนี้ฉันค่อนข้างสิ้นหวัง และแน่นอนว่าทุกอย่างจะต้องเกิดขึ้นก่อนวันคริสต์มาส
ข้อมูลใด ๆ ที่จะได้รับการชื่นชมกรุณา
แก้ไข: ฉันใช้
วารสาร ctlโดยการประทับเวลาที่กำหนด และตอนนี้ฉันสามารถดูได้ มีความพยายามหลายครั้งที่พยายามเชื่อมต่อกับ ssh แต่ เปิดเซสชันครั้งเดียวสำหรับผู้ใช้รูทไม่สำเร็จตามที่กำหนด การตอบสนอง:
CMD ( [ -x /usr/lib/php/sessionclean ] && /usr/lib/php/sessionclean)
หลังจากนั้น เซสชันสำหรับผู้ใช้รายนี้จะปิดลง
ใครรู้ว่าสิ่งนี้ควรหมายถึงอะไร?
หากคุณไม่ได้เข้าสู่ระบบในขณะนั้น คุณจะไม่มีรายละเอียด ไม่แน่นอนในระดับหลักฐานว่าโฮสต์ของคุณส่งโฟลว์บางอย่าง ในอนาคต ให้พิจารณาการเปิดใช้งานการตรวจสอบและการบันทึก เช่น การเปิดใช้งานการบันทึกการเชื่อมต่อใหม่ผ่านไฟร์วอลล์
สำรองข้อมูลโฮสต์ที่ทำงานผิดปกติ เผื่อว่าคุณจะทำการพิสูจน์หลักฐานได้ อย่าให้ (สำเนา) การเข้าถึงเครือข่ายโฮสต์นี้ และอย่าให้อินเทอร์เน็ตอีกครั้ง มีแนวโน้มว่าจะถูกบุกรุก
ทำลายและสร้างโฮสต์ใหม่จากแหล่งที่เป็นที่รู้จัก เช่น ติดตั้งสำเนา OS ใหม่ กู้คืนข้อมูลจากการสำรองข้อมูล
ในการติดตามผล รับความช่วยเหลือในการตรวจสอบสาเหตุอย่างละเอียดเกี่ยวกับวิธีที่คุณอาจส่งทราฟฟิกที่เป็นอันตราย การเข้าสู่ระบบ ssh ที่สำเร็จ หลักฐานของมัลแวร์ ซอฟต์แวร์ที่ติดตั้งไม่มีแพตช์ความปลอดภัย ตรวจสอบโฟลว์ที่ผู้ให้บริการโฮสติ้งของคุณอธิบาย อย่างไรก็ตาม เราไม่สามารถช่วยเหลือเกี่ยวกับรายละเอียดในรูปแบบถามตอบนี้ได้
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
