Мой сервер, как сообщали, злоупотреблению hoster выполнил DDos-атаки.Что мне делать?
Пожалуйста, не пишите очевидных комментариев (наймите профессионала человек / компания) - мы рассмотрим это после того, как эта проблема будет решена.
Сожалею, что вы не справляетесь с этим инцидентом безопасности должным образом.
Если в вашем доме пожар, вы ждете, пока он сам погаснет, прежде чем вызывать пожарных?
Если у вас нет сотрудников, способных справиться с подобными инцидентами, вам следует обратиться за помощью к внешним ресурсам, которые могут устранить нарушение безопасности.
Попросите своего интернет-провайдера создать журналы, показывающие участие вашего сервера в инциденте (например, график подозрительного трафика, созданный на основе данных с маршрутизаторов или коммутаторов вашего интернет-провайдера). Если они могут предоставить такие доказательства, ваша система подозреваема.
Если ваша машина действительно была вовлечена в DoS-атаку, и вы сами не предприняли таких действий, ваша машина почти наверняка скомпрометирована. Если ваша система скомпрометирована, лучший совет, который вы получите, - это избавиться от нее, например, в Как мне поступить со скомпрометированным сервером? или в любом другом подобном ему вопросе.
Для определения, если ваша система была взломана, помните, что вы не можете полагаться на какие-либо инструменты, установленные в системе, и что хороший злоумышленник не оставит очевидных следов (кроме, возможно, нечетного трафика, отмеченного внешней системой).
Наша бывшая хостинговая компания дала нам плохую оценку IP-адрес, когда у нас появился новый сервер. Затем они обвинили нас в рассылке спама, потому что IP-адрес был в черном списке спамеров где-то в сети. После большого количества потраченного впустую времени мы обнаружили, что на самом деле это был их предыдущий клиент, рассылающий спам с этого IP-адреса. Заставьте их доказать вам, что произошло, когда это произошло, кто сообщил об этом и т. Д. AFAIK любой может сообщить IP-адрес большинству этих сайтов без особых доказательств
Вы никогда не можете быть уверены, что ваша система не взломана. Вы можете реализовать разумную безопасность и целостность для своей системы только в зависимости от важности времени безотказной работы, надежности, целостности и т. Д. Вас не могут разумно попросить защитить вашу систему, не зная как.
Тот факт, что ваш сервер не выполняет DDoS-атаку сейчас , не означает, что он не делал этого раньше, и это определенно не это не означает, что ваш сервер не взломан.
Если у DC есть журналы трафика, показывающие, что ваш сервер участвует в атаке, то это должно быть все необходимое доказательство. Получение копии журналов может помочь вам определить, что не так с вашим сервером - обратите особое внимание на время.
Это не работа для тех, кто имеет среднее обучение администратора. Отслеживание этого материала может быть трудным и требует от вас использования всех уловок, которые вы знаете, и множества уловок, которые у вас нет. Возможно, вы ищете очень маленькую иголку в очень большом стоге сена. Даже у опытных администраторов возникают проблемы с подобными вещами.