Qual é a causa provável do tráfego de entrada extremamente baixo e do alto tráfego de saída?

Ontem, nosso servidor da Digital Ocean encontrou algo que parecia um ataque. O tráfego de saída aumentou repentinamente para 700 Mbps, enquanto o tráfego de entrada permaneceu em cerca de 0,1 Mbps e não aumentou nem uma vez. O tráfego durou vários minutos até que o Digital Ocean cortou nosso servidor da rede, assumindo que estamos executando um DoS (o que é razoável).

Eu tenho duas suposições: alguém invadiu nosso servidor (após o ataque, percebi que meu colega havia ativado o login SSH com senha) ou há algum tipo de ataque que eu não conheço.

Alguém pode esclarecer essa situação para mim? Se realmente existe um tipo de DoS cujo tráfego se parece com isso, por favor, me informe.

security denial-of-service Krzysztof Kraszewski
fonte

serverfault.com/questions/218005/…

Jonas Schäfer

Se você estiver executando o VestaCP, verifique esta página do DigitalOcean .

Sevvlor

@Sevvlor oh god. Eu não tinha ideia de que meu colega havia instalado essa coisa no nosso servidor. Obrigado.

Krzysztof Kraszewski 12/04

@JonasWielicki também obrigado pelo link, ele será útil algum dia.

Krzysztof Kraszewski 12/04

Respostas:

Uma possibilidade provável é um ataque de amplificação. Se você estiver executando um resolvedor de DNS recursivo aberto (existem outros protocolos com os quais você pode fazer isso), por exemplo, você pode receber um pacote UDP muito pequeno que possui um endereço IP falsificado. Seu servidor gera uma grande resposta e a envia à vítima, pensando que é uma solicitação legítima.

Outra possibilidade é que alguém estivesse exfiltrando dados da sua rede. Se alguém entrasse no seu servidor e estivesse descarregando todos os bytes que conseguisse encontrar, também seria assim.

Não há como saber qual era sem fazer uma investigação, e esperando que o que quer que tenha acontecido deixe evidências. Se for o último (exfiltração), provavelmente eles limparam suas trilhas da melhor maneira possível.

Mark Henderson
fonte

Obrigado. Estou em uma correspondência com o DO, espero que eles tenham uma idéia do que estava acontecendo. De acordo com minha investigação, é provável que alguém tenha acessado nosso servidor via SSH. Estou aceitando sua resposta, pois é a mais precisa para responder a minha pergunta, embora outras respostas também sejam muito úteis.

22418 Krzysztof Kraszewski #

@KrzysztofKraszewski A menos que seu colega esteja / estivesse usando uma senha realmente inédita, o SSH NÃO me pareceria um candidato provável. A força bruta remota é muito lenta e barulhenta.

Will

Se o servidor foi comprometido, um ataque de amplificação parece muito improvável. Por que se preocupar com um ataque tão trivial quando você enraizou o servidor? E senhas braindead são notavelmente comuns.

Phil Geada

@PhilFrost O ponto em que mencionei o ataque de amplificação foi que é possível que o OP esteja executando outra coisa que está sendo usada dessa maneira e que o servidor não foi comprometido. O DNS é o mais comum, mas também há MOTD e outros protocolos antigos e estranhos que podem ser abusados dessa maneira. É uma solução possível que se encaixa no padrão de tráfego estranho.

Mark Henderson

memcached é um recente ataque amplificação particularmente dramático

dave_thompson_085

Eu concordo com a possibilidade de um ataque de amplificação. A maneira mais simples de lidar com isso é usar o firewall de nuvem gratuito da DigitalOcean .

Permitir apenas entrada SSH, HTTP e HTTPS. Se possível, permita apenas o SSH de seus IPs confiáveis.

Você pode fazer isso usando o firewall da sua VM, a solução do DO é apenas mais fácil.

Mike M
fonte

Obrigado pela dica, passarei algum tempo protegendo nossos servidores (como deveria há um tempo atrás).

22418 Krzysztof Kraszewski #

Você deve perguntar ao Digital Ocean. Eles não desligam servidores apenas por alto tráfego de saída: isso desligaria a maioria dos servidores. Por exemplo, um servidor da web que hospeda algo popular.

Em vez disso, eles desligaram o servidor porque a natureza do seu tráfego parecia maliciosa. Como tal, eles provavelmente têm alguma idéia do que era.

Caso contrário, você terá que se investigar. Talvez se o host ainda estiver em execução, ele ainda está tentando enviar tráfego que está sendo descartado pelo Digital Ocean. Nesse caso, você seria capaz de observá-lo com um despejo de pacotes. Ou você pode encontrar pistas nos logs do sistema. Infelizmente, pode haver um milhão de coisas, portanto, é inútil especular sobre a causa subjacente ausente.

Phil Frost
fonte

Confira meu comentário na resposta de Mike M. Parece que alguém acessou nosso servidor e o usou para realizar um ataque. Obrigado pela sua resposta.

21418 Krzysztof Kraszewski #