我们有一台 Gentoo Linux 服务器(每周或每两周更新一次),上级声称它对整个本地网络发起了拒绝服务攻击并导致其瘫痪。
有没有日志文件可以供我们查看以找到这方面的证据?我们无法访问他们的工具或日志。
(我们对攻击的说法有些怀疑,因为该说法涉及两台 Windows 服务器和 Gentoo 机器,据称它们都感染了病毒,导致整个网络超载。他们已经想要我们在这些机器上运行的服务一年多了。他们没有提供任何攻击的证据,这篇文章是我自己试图在机器上寻找证据。)
答案1
关于如何深入研究这个问题,您有几个选择。
使服务器完全脱机,启动其中一个取证启动盘并开始寻找任何可能改变实际操作系统的东西。/usr/bin/ /usr/lib /etc/ /sbin 并显然忽略 /usr/portage。
安装 rkhunter 并运行它。如果盒子受到严重破坏,它可能什么也找不到,但值得一试。
从另一台机器嗅探 Gentoo 服务器的以太网端口,您需要访问交换机和托管交换机才能正确执行此操作。您可以尝试从机器本身进行嗅探,但如果机器受到严重损害,您可能什么也看不到。
如果您控制您的服务器与其服务器之间的防火墙,请尝试在带有日志记录的 RPC 端口上添加一些允许规则。
假设您仍然认为问题实际上在另一端,请召开会议。要求提供应用程序日志、错误、系统日志等。认真对待整个事情。非常认真。如果您的服务器已被入侵,那么他们的服务器也可能被入侵,他们必须完全重建他们的机器。所有的机器。除非我们能以某种方式弄清楚到底发生了什么。整个系统重新安装的威胁通常足以让人们说出到底发生了什么,但要根据您的实际政治资本、团体等量身定制。很糟糕,但有时必须玩政治。不妨好好玩一玩。
最后,如果您的 Gentoo 机器已被入侵,您将不得不从头开始重建它。即使将其脱机、chrooting 和运行 emerge -e world 也无法清理它。
答案2
iptables 支持日志记录 (-j LOG)。我使用它来调试防火墙规则和进行 DoS 检测。