Нахождение доказательства атаки "отказ в обслуживании" (Linux)
Это - больше вопроса об организационной культуре в противоположность техническому вопросу.
Технически, нет никакого серьезного основания ограничить их доступ, если у Вас нет определенных "трудных детей", которые имеют дурные привычки, которые должны быть отрегулированы. (Правовая оговорка: Я был трудным ребенком в прошлом.) Мой веб-сайт имеет сообщения о вещах, столь же разнообразных как повышение щенка к doghood и озеленению, которое заканчивает тем, что инициировало драконовские "work-related-only" фильтры контента. Даже если Вы находитесь на ограниченном интернет-соединении пропускной способности, довольно легко разыскать чрезмерных пользователей на сетевом уровне и управлять Вашими пользователями тот путь.
Культурно, существует много причин, что это могло быть желательно к управлению, но это - вопрос/ответ об управлении.
У Вас есть несколько опций о том, как подробно Вы хотите войти в это.
Возьмите сервер абсолютно офлайн, загрузите один из загрузочных дисков судебной экспертизы и начните искать что-либо, что изменилось, который мог бы быть фактической ОС./usr/bin//usr/lib/etc//sbin и очевидно игнорируют/usr/portage.
установите rkhunter и выполните его. Если поле сильно поставлено под угрозу, оно ничего не может найти, но это стоит того, чтобы попытаться.
Пакет осуществляет сниффинг порта Ethernet хинду сервера от другой машины, Вам будет нужен доступ к переключателю и управляемому коммутатору, чтобы сделать это правильно. Можно попытаться осуществить сниффинг от самой машины, но снова если она сильно пошла на компромисс, Вы ничего не могли бы видеть.
Если Вы управляете брандмауэром между своим сервером и их попытка, добавляющая, что некоторое разрешение управляет на портах RPC с входом.
Принятие Вас все еще думает, что проблема находится на самом деле на другом конце, созовите собрание. Попросите журналы приложения, ошибки, системные журналы, и т.д. Отнеситесь ко всему этому серьезно. Путь серьезно. Если Ваш сервер был поставлен под угрозу затем, их мог бы быть также, и они должны полностью восстановить свои машины. Все они. Если так или иначе мы не можем выяснить то, что действительно произошло. Угроза полной системы переустанавливает, обычно достаточно для составления кашля людей, что действительно произошло, но адаптируйте это в соответствии с фактическим политическим капиталом, группами, и т.д. Сосет, но когда-то в политику нужно играть. Может также играть его хорошо.
Наконец, если Ваша хинду машина была поставлена под угрозу, у Вас будет к восстановленному она с нуля. Даже выводя это из эксплуатации, chrooting и выполнение появляется,-e мир не очистит его.
-
1+1 для политики. Если you' ре, подозрительное к what' s ДЕЙСТВИТЕЛЬНО продолжающийся и Вы думаете его весь, обман затем определенно рассматривает его серьезный ПУТЬ и делает жизнь немного неудобной для них только, чтобы видеть если they' поеживание ll или горизонтальная полоса до того, что действительно произошло. – KPWINC 9 October 2009 в 02:25
-
2+2 для политики. Указать на Ваш сервер сделало что-то не так, все же не представляют свидетельств (даже сомнительное доказательство) недопустимо; продолжите наступление и получите ответы. – troyengel 9 October 2009 в 02:48
-
3+3 для политики. Позвольте им иметь серверы & сервисы. Затем, когда что-то действительно идет не так, как надо с ними, можно сказать " Человек, я довольный я don' t должны иметь дело с той путаницей больше..." – Joe Internet 9 October 2009 в 09:51