Вирус электронной почты, инициирующий DOS-атаку [дубликат]
На этот вопрос уже есть ответ здесь:
- Как мне работать со взломанным сервером? 13 ответов
У меня есть VPS, который постоянно отключается, потому что чрезмерного входящего или исходящего трафика. Я думал, что у меня на сервере есть вирус, и он отключился, как и мой почтовый сервер.Итак, я получил новый VPS с чистой установкой Axigen Mail Server. Перенесли на него все наши электронные письма, и вскоре он снова отключается. Имейте в виду, что на старом сервере я только что использовал Postfix с Roundcube для обработки электронных писем. Не настоящий почтовый сервер, как Axigen.
Вот что говорит моя хостинговая компания:
I've restored the VPS. Looks like excessive inbound or outbound traffic.
Thu, 05 Feb 2015 21:43:16 -0500 VPS 4273 (192.227.159.235) has 41554 conntrack sessions
Thu, 05 Feb 2015 21:43:22 -0500 VPS 4273 (192.227.159.235) has 41566 conntrack sessions
Thu, 05 Feb 2015 21:43:26 -0500 Possible DoS VPS 4273 (192.227.159.235): 170862 pps during 5 second interval
Thu, 05 Feb 2015 21:43:32 -0500 VPS 4273 (192.227.159.235) has 41499 conntrack sessions
Thu, 05 Feb 2015 21:43:32 -0500 Possible DoS VPS 4273 (192.227.159.235): 162520 pps during 5 second interval
Thu, 05 Feb 2015 21:43:36 -0500 VPS 4273 (192.227.159.235) has 41507 conntrack sessions
Thu, 05 Feb 2015 21:43:48 -0500 VPS 4273 (192.227.159.235) has 56126 conntrack sessions
Thu, 05 Feb 2015 21:43:56 -0500 SUSPENDING VPS 4273 (192.227.159.235); it has 56126 conntrack sessions
Однажды они сказали, что на МОЕМ сервере был сценарий, инициирующий что-то снаружи, вызывающее входящий трафик. Я не могу получить доступ к журналам, потому что как только они запускают VPS, он автоматически отключается из-за чрезмерного трафика.
ЭТО ПЛОХО.
В любом случае, мне нужно действовать, чтобы сказать им, что я могу сделать, чтобы его очистить. Если я смогу подключиться к серверу по SSH, я заблокирую ВЕСЬ трафик, кроме SSH, и попытаюсь выяснить это там. Но я не уверен, что искать.
Я думал, что это письмо кто-то открыл на сервере. Они сказали, что в одном из файлов электронной почты было что-то подозрительное. Но у Axigen нет файлов для электронной почты, как у postfix. Я не могу просто зайти в /var/vmail/.... чтобы добраться до них
Насколько вы уверены, что не что-то происходит с вашим сервером? Существует значительная вероятность того, что проблема на самом деле является вашим сервером.
Тем не менее, мы не можем ничего порекомендовать, кроме выполнения типичных действий по устранению неполадок, таких как сбор журналов, захват пакетов и т. Д., Затем просматривая их с помощью расчески с мелкими зубьями, чтобы понять, что происходит. Только с такими жесткими данными вы сможете вести переговоры со своим провайдером.
Если вы не можете установить стабильный удаленный доступ, отключите сеть на своем VPS и используйте выход вашего провайдера. -of-band доступ для доступа к серверу и проведения анализа. Если ваш провайдер не предоставляет OOB-доступ, лучше найдите нового.