Quelle est la cause probable d'un trafic entrant extrêmement faible et d'un trafic sortant élevé?

9

Hier, notre serveur Digital Ocean a rencontré quelque chose qui ressemblait à une attaque. Le trafic sortant est soudainement passé à 700 Mbps, tandis que le trafic entrant est resté à environ 0,1 Mbps, et n'a même pas augmenté une seule fois. Le trafic a duré plusieurs minutes jusqu'à ce que Digital Ocean coupe notre serveur du réseau en supposant que nous effectuons un DoS (ce qui est raisonnable).

J'ai deux hypothèses: soit quelqu'un a piraté notre serveur (après l'attaque, j'ai réalisé que mon collègue avait activé la connexion SSH avec mot de passe) ou il y a une sorte d'attaque que je ne connais pas.

Quelqu'un peut-il clarifier cette situation pour moi? S'il y a effectivement une sorte de DoS dont le trafic ressemble à cela, veuillez m'informer.

security  denial-of-service 
Krzysztof Kraszewski
source
1
Jonas Schäfer
2
Si vous utilisez VestaCP, assurez-vous de consulter cette page DigitalOcean .
Sevvlor
2
@Sevvlor oh mon dieu. Je ne savais pas que mon collègue avait installé cette chose sur notre serveur. Merci.
Krzysztof Kraszewski
Aussi @JonasWielicki merci pour le lien, il se révélera utile un jour.
Krzysztof Kraszewski

Réponses:

20

Une possibilité probable est une attaque d'amplification. Si vous exécutez un résolveur DNS récursif ouvert (il existe cependant d'autres protocoles avec lesquels vous pouvez le faire), par exemple, vous pouvez recevoir un très petit paquet UDP qui a une adresse IP usurpée. Votre serveur génère ensuite une réponse volumineuse et l'envoie à la victime, pensant qu'il s'agit d'une demande légitime.

Une autre possibilité est que quelqu'un exfiltre des données de votre réseau. Si quelqu'un pénétrait dans votre serveur et déchargeait chaque octet qu'il pouvait trouver, cela ressemblerait également à cela.

Il n'y a aucun moyen de savoir de qui il s'agit sans faire une enquête et en espérant que quoi qu'il arrive, il reste des preuves. Si c'est ce dernier (exfiltration), ils ont probablement effacé leurs traces du mieux qu'ils pouvaient.

Mark Henderson
source
1
Merci. Je suis en correspondance avec DO, j'espère qu'ils auront une idée de ce qui se passait. Selon mon enquête, il est probable que quelqu'un ait accédé à notre serveur via SSH. J'accepte votre réponse car elle est la plus précise pour répondre à ma question, bien que d'autres réponses soient également très utiles.
Krzysztof Kraszewski
2
@KrzysztofKraszewski À moins que votre collègue n'utilise / n'utilisait un mot de passe vraiment braindead, SSH ne semble pas être un candidat probable pour moi. Le forçage brutal à distance est très lent et bruyant.
Will
Si le serveur était compromis, une attaque d'amplification semble très peu probable. Pourquoi s'embêter avec une attaque aussi banale lorsque vous avez rooté le serveur? Et les mots de passe braindead sont remarquablement courants.
Phil Givre
1
@PhilFrost Le point de mentionner l'attaque d'amplification était qu'il est possible que l'OP exécute quelque chose d'autre qui est simplement utilisé de cette façon et que le serveur n'a pas été compromis. Le DNS est le plus courant, mais il existe également des MOTD et d'autres anciens protocoles étranges qui peuvent être utilisés de cette manière. C'est une solution possible qui correspond au modèle de trafic étrange.
Mark Henderson
3
dave_thompson_085
10

Je suis d'accord avec la possibilité d'une attaque d'amplification. La façon la plus simple de gérer cela est d'utiliser le pare-feu cloud gratuit de DigitalOcean .

Autorisez uniquement les entrées SSH, HTTP et HTTPS. Si possible, n'autorisez SSH qu'à partir de vos adresses IP de confiance.

Vous pouvez le faire en utilisant le pare-feu sur votre machine virtuelle, la solution de DO est simplement plus facile.

Mike M
source
Merci pour l'astuce, je vais passer un peu de temps à sécuriser nos serveurs (comme je le devais il y a un moment).
Krzysztof Kraszewski
5

Vous devriez demander à Digital Ocean. Ils n'arrêtent pas les serveurs uniquement pour un trafic sortant élevé: cela arrêterait la plupart des serveurs. Par exemple, un serveur Web hébergeant quelque chose de populaire.

Au contraire, ils arrêtent votre serveur car la nature de votre trafic semble malveillante. En tant que tels, ils ont probablement une idée de ce que c'était.

Sinon, vous devrez vous enquêter. Peut-être que si l'hôte est toujours en cours d'exécution, il tente toujours d'envoyer du trafic qui est abandonné par Digital Ocean. Dans ce cas, vous pourrez l'observer avec un vidage de paquets. Ou vous pourrez peut-être trouver des indices dans les journaux système. Cela pourrait être un million de choses malheureusement, donc spéculer sur la cause sous-jacente en l'absence d'une telle enquête est futile.

Phil Frost
source
Découvrez mon commentaire sous la réponse de Mike M. Il semble que quelqu'un ait accédé à notre serveur et l'ait utilisé pour effectuer une attaque. Merci pour votre réponse.
Krzysztof Kraszewski
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.