Нападение на внешние ресурсы сервером

Определить ip-адреса и порт и потом по вывод ″netstat -n -p″ или (ss -n -p) определить процесс.

А не стоит к ss добавить ещё -t и -u?

спасибо, буду пробовать. Просто такое что-то в первый раз и вот ажно потерялся, решил спросить здесь пока тех.поддержка ищет свои решения. Сложность в том, что «нечто» запускается дефолтно, и его очень сложно поймать.

файлы из /var/log/ вам в помощь

первым делом глянул, - все как всегда, разительных отличий никаких нет. Самая большая проблема именно локализовать коварное «нечто». Уже стало так интересно понять, что это такое, что объявил себе ночной марафон.

удачи... я бы начал с правил iptables, далее поигрался конфигом ngnix - сто пудов инъекция через него.

с nginx уже все проверил, все в порядке. По поводу iptables сейчас тех.поддержка проверяет. Уже ну вот буквально все проверил - один фиг, атаки идут откуда-то...стремно все это. Жду вот результатов от тех.отдела.

p.s походу серьезный это рынок то, it-безопасность.

crontab смотрел? Точнее все кронтабы, их много.

По хорошему надо поднять вторую виртуалку, перенести на неё сайты, а заражённую исследовать уже в выключенном состоянии (скачать образ системы например).
Или оставить её работать без полезной нагрузки (посетителей) и записывать трафик, смотреть откуда приходят управляющие команды (торадиционно для этого используют irc).

Закладка может быть например в скриптах сайта, проверь их целостность если есть такая возможность.

Системные файлы тоже проверь на целостность, на сколько я помню dpkg это умеет. Бывает модифицируют sshd например, или веб-сервер.

Можно ещё nmap-нуть свой сервер по всем портам, посмотреть что там слушается. Думаю так оно надёжнее чем из системы.

P.S. а какого типа атаки?

По умолчанию ss, вроде, даёт tcp-сокеты. Обычно по tcp сервера и атакуют. Но, какие сокеты нужны должен решать ТС после просмотра дампа трафика. Он не уточнил какой трафик, может ему не только tcp и udp надо, а ещё ″-w″ опцию.

Если трафик tcp и возникает кратковременно, типа скрипт куда-то подконектился, послал запрос и закрыл сокет, то, для данного типа трафика можно в iptables сделать LOG+DROP, тогда скрипт будет заметное время тратить на коннект и будет попадать в вывод ″ss″.

SSHD и панамские боты
вот из личного опыта. почитай тред.

rkhunter, chkrootkit в помощь

какого типа атаки не ясно. тех.поддержка также ничего конкретного не говорит. просто отчет какой-то своей системы мониторинга показывают, мол смотрите от вас уходит свыше 1200Gb данных.

Видимо какой-то флуд.

А DNS сервер там случайно не поднят? Сейчас модно через открытые DNS сервера DDoSить. Посылаешь dns серверу маленький udp пакет, порождающий большой ответ (например запрос на передачу зоны), с адресом жертвы в качестве source ip, и сервер отправляет жертве уже большую порцию данных.

интересный вариант.

по делу - уже нашли уязвимость.Оказалось в одном из модулей Drupal. Комментарии излишне (: ну...вообщем лучей поноса разрабам.

Всем спасибо за комментарии.Вы мне очень помогли,рассказали что-то новое и полезное. Теперь я буду во всеоружии при возникновении подобных кризисов.

вы бы померили все таки трафик во время уязвимости каким нить iptraf на интерфейсе - причина типа «по делу - уже нашли уязвимость.Оказалось в одном из модулей Drupal.» - похожи больше на отговорку (по личному опыту)

причина именно в модуле была. iptraf'ом уже замерял трафик))