大家好,希望有人能给我提供第一步,让我可以开始调查原因,以了解为什么我们的 Linux 服务器似乎攻击了托管该服务器的服务提供商。
今天我收到一封电子邮件,说我们的一台服务器作为协同 DDoS 僵尸网络的一部分,正在危害我们的一家服务提供商客户,因此他们不得不将其路由为无效路由以减轻影响,因此服务器瘫痪了,我们的所有业务几乎都瘫痪了。他们查看了这次攻击的捕获结果,根据攻击他们的不同主机数量有限,他们不认为我们的 IP 地址是被欺骗的。
这是我们的 Linux 服务器,托管与基础设施中其他内部服务器连接的许多不同服务。
我需要调查并观察可能使源网络适配器饱和的攻击。由于源设备是用于许多攻击的僵尸网络的成员,我应该看到许多其他神秘的出站流量爆发但问题是:
我们没有在这台服务器上安装任何监控,所以我无法监控从服务器发出的流量,所以问题是:
是否有可能以某种方式追踪攻击我们服务提供商客户的出站流量在 Linux 中?有什么命令可以帮助我吗?也许有日志记录?
我确实有关于最后时间戳的信息(在最左边)。源和目标 IP 地址、协议和端口。不幸的是,我不知道从哪里开始,因为这个服务器没有任何监控,而且我对 Linux 了解不多,因为我现在非常绝望,当然,一切都需要在圣诞节前完成。
如能提供任何信息,我们将不胜感激。
编辑:我使用了
journalctl给定的时间戳,现在我可以看到,有多次尝试连接到 ssh 但均未成功,尽管为 root 用户打开了一次会话并给出了响应:
CMD ( [ -x /usr/lib/php/sessionclean ] && /usr/lib/php/sessionclean)
此后,该用户的会话将关闭。
有人知道这是什么意思吗?
答案1
一般情况下,Linux 服务器默认不记录或监控网络带宽使用情况。如果您之前没有安装监控系统,那么您就没有这些数据。
答案2
如果您当时没有记录,您将无法获得详细信息。当然,无法获得您的主机发送某些流量的证据。将来,请考虑启用监控和日志记录,例如启用通过防火墙记录新连接的功能。
备份出现问题的主机,以防万一对其进行取证。不要让此主机(副本)访问网络,也不要再让其访问互联网。它很可能已经受到威胁。
销毁并从已知良好的来源重建主机。例如安装操作系统的全新副本。从备份中恢复数据。
作为后续工作,请寻求帮助,对您可能发送恶意流量的方式进行详细的根本原因调查。成功的 ssh 登录、恶意软件的证据、安装的软件缺少安全补丁,查看托管提供商描述的流程。但是,我们无法以这种问答形式提供详细信息。