电子邮件病毒发起 DOS 攻击

电子邮件病毒发起 DOS 攻击

我有一个 VPS,由于入站或出站流量过多而不断关闭。我以为我的服务器上有病毒,因此关闭了我的电子邮件服务器。因此,我获得了一个新的 VPS,运行全新安装的 Axigen 邮件服务器。将我们所有的电子邮件迁移到它,不久之后它又被关闭了。请记住,旧服务器我只是使用 Postfix 和 Roundcube 来处理电子邮件。不是像 Axigen 这样的实际电子邮件服务器解决方案。

以下是我的托管公司的说法:

I've restored the VPS.  Looks like excessive inbound or outbound traffic.

Thu, 05 Feb 2015 21:43:16 -0500  VPS 4273 (192.227.159.235) has 41554 conntrack sessions
Thu, 05 Feb 2015 21:43:22 -0500  VPS 4273 (192.227.159.235) has 41566 conntrack sessions
Thu, 05 Feb 2015 21:43:26 -0500  Possible DoS VPS 4273 (192.227.159.235): 170862 pps during 5 second interval
Thu, 05 Feb 2015 21:43:32 -0500  VPS 4273 (192.227.159.235) has 41499 conntrack sessions
Thu, 05 Feb 2015 21:43:32 -0500  Possible DoS VPS 4273 (192.227.159.235): 162520 pps during 5 second interval
Thu, 05 Feb 2015 21:43:36 -0500  VPS 4273 (192.227.159.235) has 41507 conntrack sessions
Thu, 05 Feb 2015 21:43:48 -0500  VPS 4273 (192.227.159.235) has 56126 conntrack sessions
Thu, 05 Feb 2015 21:43:56 -0500  SUSPENDING VPS 4273 (192.227.159.235); it has 56126 conntrack sessions

他们曾说过,我的服务器上有一个脚本启动了某些东西,导致入站流量。我无法获取任何日志,因为一旦他们启动 VPS,它就会因流量过大而自动关闭。

就是这么糟糕。

无论如何,我需要一个行动方案来告诉他们我可以做些什么来清理它。如果我可以通过 SSH 进入服务器,我会阻止除 SSH 之外的所有流量并尝试在那里找出原因。但我不确定要寻找什么。

我以为这是某人在服务器上打开的一封电子邮件。他们说其中一个电子邮件文件中有一些可疑的东西。但 Axigen 没有像 postfix 那样的电子邮件文件。我不能直接进入 /var/vmail/.... 来获取它们

答案1

你有多确定不是你的服务器出了什么问题?很有可能是其实是你的服务器出了问题

无论如何,我们真正能推荐的只有执行典型的故障排除步骤,例如收集日志、数据包捕获等,然后仔细查看它们,以便了解发生了什么。只有硬数据这样您就可以与您的提供商进行协商。

如果您无法建立稳定的远程访问,请关闭 VPS 上的网络,并使用提供商的带外访问来访问服务器并执行分析。如果您的提供商不提供 OOB 访问,请寻找新的提供商。

相关内容