昨晚我的服务器(centos5)有异常的传出流量,大约 12kGB,现在我的服务器已关闭,因为我必须支付该流量的费用。我的服务器是一个小型应用程序的小型服务器。我不知道发生了什么,但托管支持人员说这可能是您的服务器被黑客入侵并用于 DDOS 攻击,或者可能是放大错误等。他们帮不上什么忙。
我的问题是:我如何检查流量的用途和用途?我如何检查我的服务器是否被黑客入侵?托管人员知道我已向他们提供的一些任务的 root 密码。我如何防止这种情况发生?有没有办法限制传出流量?
答案1
我如何检查流量的用途和用途?我如何检查我的服务器是否被黑客入侵?
如果不调查日志,回答这个问题会非常困难。考虑到这种情况,托管公司关闭您的服务器直到您付款是可以理解的,但这也阻碍了调查。也许他们可以为您检索日志,以便您进行调查?
您可以尝试的另一件事是联系他们的网络运营人员,了解当晚网络发生的情况:他们可能有一些数据/图表/报告,可以作为很好的信息来源。
我该如何防止这种情况发生?
这将通过修复错误/安全问题/任何被恶意利用的东西(考虑到你确实被黑客攻击了)来实现。并及时更新安全升级!
有没有办法限制传出流量?
这是一个非常复杂的问题,因为您希望您的服务器+应用程序能够尽快响应“合法”流量(例如 100 个用户同时连接到您的应用程序,这将导致网络使用量激增),同时仍然能够击败邪恶的传入请求。
答案2
对磁盘或网络流量日志进行取证,以了解这是什么。这需要与您的提供商合作。
从传输量来看,很可能有人设置了文件共享,或者进行了带宽放大攻击,以损害您的利益。 美国 CERT TA14-017A对放大攻击进行了概述。特别要注意,如果配置不正确,NTP 或 Memcached 等常见服务可能会产生巨大的攻击流量。
评估此主机的安全性:安全更新落后了多少,是否允许使用密码进行远程登录,密码破解的难易程度如何,您是否查看过身份验证日志。请诚实一点。