Nguyên nhân có thể xảy ra đối với lưu lượng truy cập trong nước cực kỳ thấp và lưu lượng truy cập ra ngoài cao là gì?


9

Hôm qua máy chủ Digital Ocean của chúng tôi đã gặp phải thứ gì đó trông giống như một cuộc tấn công. Lưu lượng truy cập đi ra đột ngột tăng lên 700Mb / giây, trong khi lưu lượng truy cập trong nước ở mức khoảng 0,1Mb / giây và không tăng dù chỉ một lần. Lưu lượng truy cập kéo dài trong vài phút cho đến khi Digital Ocean cắt máy chủ của chúng tôi khỏi mạng với giả định chúng tôi đang thực hiện DoS (điều này hợp lý).

Tôi có hai giả định: hoặc ai đó đã xâm nhập vào máy chủ của chúng tôi (sau cuộc tấn công tôi nhận ra đồng nghiệp của mình đã kích hoạt đăng nhập SSH bằng mật khẩu) hoặc có một loại tấn công mà tôi không biết.

Bất cứ ai có thể làm rõ tình huống này cho tôi? Nếu thực sự có một loại DoS mà lưu lượng truy cập trông như thế, xin vui lòng giáo dục tôi.



2
Nếu bạn đang chạy VestaCP, vui lòng đảm bảo xem trang DigitalOcean này .
Sevvlor

2
@Sevvlor trời ơi. Tôi không biết đồng nghiệp của tôi đã cài đặt thứ này trên máy chủ của chúng tôi. Cảm ơn.
Krzysztof Krasnzewski

Ngoài ra @JonasWielicki cảm ơn vì liên kết, nó sẽ tự chứng minh một ngày nào đó hữu ích.
Krzysztof Krasnzewski

Câu trả lời:


20

Một khả năng có thể là một cuộc tấn công khuếch đại. Ví dụ: nếu bạn đang chạy trình phân giải DNS đệ quy mở (có các giao thức khác bạn có thể thực hiện việc này), bạn có thể nhận được gói UDP rất nhỏ có địa chỉ IP giả mạo. Máy chủ của bạn sau đó tạo ra một phản hồi lớn và gửi nó cho nạn nhân, nghĩ rằng đó là một yêu cầu hợp pháp.

Một khả năng khác là ai đó đã xóa dữ liệu khỏi mạng của bạn. Nếu ai đó đã vào máy chủ của bạn và đang giảm tải từng byte họ có thể tìm thấy, thì nó cũng sẽ như vậy.

Không có cách nào để biết đó là ai mà không cần điều tra, và hy vọng rằng bất cứ điều gì đã xảy ra đều để lại bằng chứng. Nếu đó là cái thứ hai (exfiltration) thì có lẽ họ đã xóa dấu vết của họ một cách tốt nhất có thể.


1
Cảm ơn. Tôi đang trong tình trạng khó khăn với DO, hy vọng họ sẽ có ý tưởng về những gì đang diễn ra. Theo điều tra của tôi, có khả năng ai đó đã truy cập được vào máy chủ của chúng tôi thông qua SSH. Tôi chấp nhận câu trả lời của bạn vì nó chính xác nhất trong việc trả lời câu hỏi của tôi, mặc dù các câu trả lời khác cũng rất hữu ích.
Krzysztof Krasnzewski

2
@KrzysztofKraszewski Trừ khi đồng nghiệp của bạn đang / đang sử dụng mật khẩu thực sự dũng cảm, SSH dường như KHÔNG phải là một ứng cử viên có khả năng với tôi. Từ xa vũ phu rất chậm và ồn ào.
Sẽ

Nếu máy chủ bị xâm nhập, một cuộc tấn công khuếch đại dường như rất khó xảy ra. Tại sao phải bận tâm với một cuộc tấn công tầm thường như vậy khi bạn đã root máy chủ? Và mật khẩu braindead là phổ biến đáng chú ý.
Phil Frost

1
@PhilFrost Quan điểm của tôi khi đề cập đến cuộc tấn công khuếch đại là có thể OP đang chạy một thứ khác chỉ được sử dụng theo cách đó và máy chủ đã không bị xâm phạm. DNS là phổ biến nhất, nhưng cũng có MOTD và các giao thức cũ kỳ lạ khác có thể bị lạm dụng theo cách này. Đó là một giải pháp khả thi phù hợp với mô hình giao thông kỳ lạ.
Mark Henderson


10

Tôi đồng ý với khả năng của một cuộc tấn công khuếch đại. Cách đơn giản nhất để xử lý việc này là sử dụng tường lửa đám mây miễn phí của DigitalOcean .

Chỉ cho phép SSH, HTTP và HTTPS gửi đến. Nếu có thể, chỉ cho phép SSH từ các IP đáng tin cậy của bạn.

Bạn có thể làm điều này bằng cách sử dụng tường lửa trên máy ảo của mình, giải pháp của DO chỉ đơn giản hơn.


Cảm ơn vì tiền boa, tôi sẽ dành thời gian để bảo vệ máy chủ của chúng tôi (như tôi nên làm trước đây một chút).
Krzysztof Krasnzewski

5

Bạn nên hỏi Digital Ocean. Họ không tắt máy chủ chỉ vì lưu lượng truy cập cao: điều đó sẽ đóng cửa hầu hết các máy chủ. Ví dụ, một máy chủ web lưu trữ một cái gì đó phổ biến.

Thay vào đó, họ đóng cửa máy chủ của bạn vì bản chất lưu lượng truy cập của bạn trông độc hại. Như vậy, có lẽ họ có một số ý tưởng đó là gì.

Nếu không, bạn sẽ phải tự điều tra. Có lẽ nếu máy chủ vẫn đang chạy thì nó vẫn cố gửi lưu lượng đang bị Digital Ocean bỏ. Trong trường hợp đó, bạn có thể quan sát nó với một bãi chứa gói. Hoặc bạn có thể tìm thấy manh mối trong nhật ký hệ thống. Nó có thể là một trong số một triệu điều không may, vì vậy suy đoán về nguyên nhân cơ bản vắng mặt một cuộc điều tra như vậy là vô ích.


Kiểm tra nhận xét của tôi dưới câu trả lời của Mike M. Có vẻ như ai đó đã truy cập máy chủ của chúng tôi và sử dụng nó để thực hiện một cuộc tấn công. Cảm ơn bạn vì câu trả lời.
Krzysztof Krasnzewski
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.