Помогите найти причину portscan

0

1

Сабж, хостер прислал письмо, что мой сервер ддосит, приложил инфу:

##########################################################################
#              Portscan detected from host  ip my server            #
##########################################################################

time                protocol src_ip src_port          dest_ip dest_port
---------------------------------------------------------------------------
Fri Nov  7 06:50:03 2014 TCP     my ip server 1111  =>     9.125.252.5 36172
Fri Nov  7 06:50:03 2014 TCP     my ip server 1111  =>     9.125.252.5 3816 
...............
Fri Nov  7 06:49:21 2014 TCP     my ip server 1165  =>     9.125.252.5 
...................

Ссылка

←	Не применяются правила IPTABLES

непонятки с RAID mdadm

→

Причина, явно, какая-нибудь дырка в web-скриптах. А искать её можно долго. Допустим, сначала tcpdump'ом или логированием исходящих tcp-syn пакетов в iptables посмотрите, идёт ли DOS в данный момент и на какие ip-адреса, потом по выводу ″netstat -t -n -p″, и посмотрите какой процесс пытается попасть на эти адреса. Если на каждый коннект форкается отдельный процесс, запускайте ″netstat″ и ″ps″ вместе, перенаправив вывод в файл, тогда есть шанс, что будет виден и pid процесса в netstat и другая информация по нему в выводе ps.

Ну это всё при условии, что сервер сломали не полностью, что root'а там ещё не получили и руткит не поставили.

mky ★★★★★
(07.11.14 11:44:22 MSK)

Ссылка

говноCMS есть?

axelroot ★
(07.11.14 13:03:46 MSK)

Ответ на: комментарий от axelroot 07.11.14 13:03:46 MSK

а что подразумеваете под данным понятием?

mrxk
(07.11.14 13:20:10 MSK) автор топика

Попробуй http://habrahabr.ru/company/selectel/blog/222839/

anton_jugatsu ★★★★
(07.11.14 13:36:24 MSK)

Ссылка

Если крутится говноCMS, то можно посканить этой хренью http://revisium.com/ai/ Хоть она и не фонтан, то самые растпространенные бекдоры ищет.

iron ★★★★★
(07.11.14 19:58:03 MSK)

Ссылка

Ответ на: комментарий от mrxk 07.11.14 13:20:10 MSK

вротпресс, жумлу и дурпал он подразумевает, но ещё он забыл про вебмин и испманагер, которые тоже вполне себе дырявы, и их владельцам пофиг на безопасность

dr-yay ★★
(07.11.14 20:38:35 MSK)

Ответ на: комментарий от dr-yay 07.11.14 20:38:35 MSK

стоит панелька айсипиманагер 4 лайт из чужих cms только dle лицензионный

mrxk
(08.11.14 07:29:00 MSK) автор топика

Ответ на: комментарий от mrxk 08.11.14 07:29:00 MSK

ну вот тебе и две дыры, сноси всю операционку и устанавливай всё начисто, не вздумай старые сайты копировать в новую ос, только с нуля+данные из бекапа субд. Испманагер сразу в печь, ос и цмску обновляй своевременно.

dr-yay ★★
(08.11.14 09:33:14 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не применяются правила IPTABLES

Admin

непонятки с RAID mdadm

→

Похожие темы