Забыл выключить прокси-сервер или меня взломали или это разводилово?

0

2

Есть у меня прокси-сервер squid3. И нужно было им воспользоваться. Обычно я в таких случаях разрешаю доступ только со своего IP. Но в новогодние каникулы как всегда дома с интернетом полный down. IP у меня динамический и при постоянных обрывах связи пользоваться прокси у которого разрешен доступ только с 1 IP невозможно. Решил я открыть полный доступ со всех адресов чтобы не париться каждый раз когда интернет перезапустится. Думал за пару часиков вредители не успеют просканировать мой сервер на наличие прокси. В итоге я забыл выключить прокси сервер и он простоял доступный всем всю ночь.

С утречка смотрю почту а там полный ящик абуз от хостера. Жалуются на атаки и спам с моего сервера. Ну я сразу сообразил, что прокси включенный всю ночь простоял и конечно же на него все коршуны сети слетелись как мухи на мёд. 50 гигабайт одних только логов набралось.

Все бы хорошо было, но... Сегодня с утречка снова прилетает абуза от хостера.

Вот её краткое содержание:

Это текст жалобы от тех кто пожаловался на меня хостеру и хостер мне её пересылает:
***** ADDITIONAL INFORMATION BY SIRT ***** ******************************************
ORIGINAL COMPLAINT BELOW ******************************************
StopForumSpam report for LEASEWEB ASN16265 (as of 25 Jan 2011)
IP Number XX.XX.XX.XX(ип моего сервера) rnds lookup.мой обратный адрес.ru
Link http://www.stopforumspam.com/ipcheck/XX.XX.XX.XX(ип моего сервера)
Last seen at 06-Jan-14 04:01:48 Mon IP reported 2 times (by 2 different sites) in the last 24 hours IP seen 11 times in the last month
Usernames seen from this IP 24H 1month Username 2 2 blablabla 2 2 blablabla2
Emails seen from this IP 24H 1month Username 169 920 convictionjpsq@gmail.com 6 67 derryjruf@hotmail.com No Evidence Submitted

В жалобе указана дата последней активности 06-Jan-14 в то время как прокси был выключен 4 января.

И тут у меня возникает пару вопросов.

1. Либо атаки проходят уже не через прокси и мой сервер уже взят под контроль вредителями.

2. Жалоба отправлена с некого ресурса stopforumspam.com который занимается антипам-услугами. И таким образом они пытаются привлечь к себе внимание владельцев сайтов рассылая ложные абузы. Фактически сами занимаются спамом рекламируя себя. Хитрый рекламный трюк при котором реклама поступает чисто целевой аудитории.

Вот прям не знаю что теперь и думать.

Ссылка

Для начала проверь первую гипотезу. Как минимум посмотри список процессов на сервере (ps ax) и сетевую активность (tcpdump).
Дата последней активности может быть по факту датой последней жалобы (кто-то только сейчас вышел из запоя и жмакнул «это спам»).

На будущее: проксись через ssh. Тут тебе и шифрование трафика, и нормальная авторизация. http://habrahabr.ru/post/122445/

MrClon ★★★★★
(07.01.14 15:13:13 MSK)

И еще, через этот прокси снаружи вполне были доступны все твои хосты во внутренней приватной сети.

anto215 ★★
(07.01.14 15:33:58 MSK)

Ответ на: комментарий от anto215 07.01.14 15:33:58 MSK

Слово «хостер» намекает на то что никакой приватной сети там нет.

MrClon ★★★★★
(07.01.14 17:20:55 MSK)

А ещё спамеры выжрали весь бесплатный трафик из моего сервера и немного платного. Месяц еще только начался, а у меня перерасход по трафику. Теперь мне будет дешевле переехать на другой сервер.

А чтобы вам было совсем страшно, открою маленькую тайну. Величина профуканного трафика измеряется в терабайтах. Для маленького ВПС это... вобщем у меня нет слов.

Maksimko
(07.01.14 19:59:22 MSK) автор топика

Похожие темы