托管我的专用服务器的公司已提醒我注意他们认为来自我机器的恶意流量。他们向我提供了图表,显示大量 UDP 流量来自我的机器的 IP 地址和他们网络上的另一台机器,两者都指向一个似乎是俄罗斯网络主机的地址。流量持续了大约 15 分钟,大约 80 Mbps,并且发生在我出城并且没有登录服务器或对其进行任何特殊操作的一天。我的机器正在运行 debian。我的虚拟主机说他们“删除了空路由,它似乎没有重新开始。” (我不知道那是什么意思。)我运行了一个名为 rkhunter 的 rootkit 检测器,但它没有发现任何东西。
我没有任何高级的安全知识,所以我很难评估这是否是我的机器已被入侵的有力证据。我在这个答案中注意到以下内容:
您确定您的服务器是数据包的来源吗?伪造UDP数据包的源地址很容易。
来自我的虚拟主机的信息是否有力地证明我的机器已被入侵并且我需要让他们重新安装?
[编辑] 后来我发现这可能是因为端口映射器服务容易受到使用 UDP 的端口映射器放大攻击的攻击。由于我没有使用 NFS,因此我可以关闭此服务。
您从托管服务提供商处获得了报告。他们将能够判断流量是来自您的服务器还是被欺骗。因此,如果您的托管服务提供商有能力,那么该报告很可能是正确的。
如果我站在你的立场上,我会做两件事。我会询问托管服务提供商是否可以发送一些洪水流量样本的数据包捕获。在检查数据包跟踪之后,将能够更好地判断报告的正确性。此外,我将登录服务器并运行ifconfig以查看机器自上次重新启动以来发送了多少流量。(请注意,如果它是 32 位系统,则计数器在 4GB 处环绕,因此不能保证准确。)
如果您的主机确实发送了大量的 UDP 数据包,那么它可能会以不同的方式发生。但最可能的解释是某种妥协。破坏 root 帐户不需要启动大量 UDP 数据包,破坏任何单个帐户都可以。您可以查看套接字是否仍绑定到洪水流量的源端口。如果幸运的话,您可能会发现以这种方式产生流量的程序。我有几次看到一个合法程序意外地产生了大量的数据包而没有发生任何妥协。如果您有任何内部开发的通过 UDP 通信的软件,这可能就是发生在您身上的事情。
如果提供者没有数据包跟踪可以显示给您,并且网络接口上的字节数并不表示已发送大量数据,并且您找不到系统被破坏的证据,那么可能是提供者只是转发了他们收到的虚假报告,而没有进行自己的调查。
我没有任何高级的安全知识
这就是这里的问题。
您是否安装了出站过滤 iptables/packetfilter(vulgo:防火墙)?
来自我的虚拟主机的信息是否有力地证明我的机器已被入侵并且我需要让他们重新安装?
可能:是(重新安装)。您的服务器必须被视为被利用。
但是由于简单的重新安装不会消除初始漏洞的根本原因(webapp?密码错误+暴力?谁知道......)