Задать вопрос
@machno
linux

Как остановить исходящий флуд с моего сервера?

Имеется VPS на digitalocean, внезапно ночью он упал. С утра я об этом узнаю, из поддержки приходит сообщение, что от моего сервера исходило больно много траффика и они ему перекрыли интернеты.

Коннекчусь к ssh и вижу вот это вот:fb901b5ab5e4429592bc4f0a64eb48fc.PNG

Как починить - ума не приложу. Выручайте
  • Вопрос задан
  • 3191 просмотр
Комментировать
Подписаться 4 Оценить Комментировать
Решения вопроса 1
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
Первое это блокируем на фаирволе весь трафик кроме того IP с которого заходите вы, второе прогоняем стандартные проверки на руткиты например через rkhunter, если ничего прогоняем проверку на вирусню тем же ClamAV, если снова ничего смотрим подозрительные процессы, особенно обращаем внимание на те что в верху iftop. Если тыкать пальцем в небо то можно предположить, что ваш сервер принимал участие в одной из Amplification атак и трафик генерил либо DNS либо NTP - их проверяем в первую очередь. Да и настройте фаирвол.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 1
desperadik
@desperadik
Истина где-то рядом.
Все говорят что это уязвимость Elasticsearch.
Вот тут типа пример скрипта, который "типа" очищает IptableX.

#!/bin/sh

# remove malware
rm -f /boot/Ip*
rm -f /boot/.Ip*
rm -f /boot/..Ip*
rm -f /usr/.Ip*
rm -f /tmp/29*
rm -f /.my*
rm -f /etc/rc2.d/S55Ip*
rm -f /etc/rc3.d/S55Ip*
rm -f /etc/rc4.d/S55Ip*
rm -f /etc/rc5.d/S55Ip*
rm -f /var/lib/update-rc.d/IptabLex
rm -f /markus/tomee/bin/getsetup*

# block IPs in firewall
iptables -P INPUT ACCEPT
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -s 222.184.0.0/16 -j DROP
iptables -I INPUT -s 222.185.0.0/16 -j DROP
iptables -I INPUT -s 222.186.0.0/16 -j DROP
iptables -I INPUT -s 222.187.0.0/16 -j DROP
iptables -I INPUT -s 222.188.0.0/16 -j DROP
iptables -I INPUT -s 222.189.0.0/16 -j DROP
iptables -I INPUT -s 222.190.0.0/16 -j DROP
iptables -I INPUT -s 222.191.0.0/16 -j DROP
iptables -I INPUT -s 59.0.0.0/8 -j DROP
iptables -I INPUT -s 119.0.0.0/8 -j DROP
iptables -I INPUT -s 162.221.12.0/22 -j DROP
iptables -I INPUT -s 218.0.0.0/8 -j DROP
iptables -I INPUT -s 23.239.192.0/19 -j DROP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 64344 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 81 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -I OUTPUT -d 222.184.0.0/16 -j DROP
iptables -I OUTPUT -d 222.185.0.0/16 -j DROP
iptables -I OUTPUT -d 222.186.0.0/16 -j DROP
iptables -I OUTPUT -d 222.187.0.0/16 -j DROP
iptables -I OUTPUT -d 222.188.0.0/16 -j DROP
iptables -I OUTPUT -d 222.189.0.0/16 -j DROP
iptables -I OUTPUT -d 222.190.0.0/16 -j DROP
iptables -I OUTPUT -d 222.191.0.0/16 -j DROP
iptables -I OUTPUT -d 59.0.0.0/8 -j DROP
iptables -I OUTPUT -d 119.0.0.0/8 -j DROP
iptables -I OUTPUT -d 162.221.12.0/22 -j DROP
iptables -I OUTPUT -d 218.0.0.0/8 -j DROP
iptables -I OUTPUT -d 23.239.192.0/19 -j DROP
iptables -P OUTPUT ACCEPT
iptables -L -v -n


Этот скрипт только удаляет файлы IptableX, но никак не очищает систему полностью от руткита. На свой страх и риск.
Потом обязательно надо будет закрыть порт Elasticsearch, или откатиться к более поздней версии.

А лучше вообще переставить систему с резерва, потому что от руткитов очень сложно избаваиться.
Ответ написан
4 комментария
4 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Linux Администратор DevOps
ИМАГ Москва
от 150 000 до 170 000 ₽
Программист C/C++ embedded Linux
РТК Автоматика Москва
от 170 000 до 250 000 ₽
Системный инженер/ DevOps (удаленно)
Git in Sky
До 200 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработка торгового бота на Байбит под виндоус серверс
04 мая 2024, в 15:12
15000 руб./за проект
Разработка лендинга на Тильда Tilda
04 мая 2024, в 14:46
15000 руб./за проект
Программа для сайта знакомств (ИИ)
04 мая 2024, в 14:41
20000 руб./за проект
Ещё заказы