Was ist die wahrscheinliche Ursache für extrem geringen eingehenden Verkehr und hohen ausgehenden Verkehr?

9

Gestern ist unser Digital Ocean Server auf etwas gestoßen, das wie ein Angriff aussah. Der ausgehende Verkehr stieg plötzlich auf 700 Mbit / s, während der eingehende Verkehr bei etwa 0,1 Mbit / s blieb und nicht einmal anstieg. Der Datenverkehr dauerte mehrere Minuten, bis Digital Ocean unseren Server vom Netzwerk abschaltete, vorausgesetzt, wir führen ein DoS durch (was angemessen ist).

Ich habe zwei Annahmen: Entweder hat sich jemand in unseren Server gehackt (nach dem Angriff wurde mir klar, dass mein Kollege die SSH-Anmeldung mit Passwort aktiviert hat) oder es gibt eine Art Angriff, von dem ich nichts weiß.

Kann jemand diese Situation für mich klären? Wenn es tatsächlich eine Art DoS gibt, dessen Verkehr so ​​aussieht, informieren Sie mich bitte.

security denial-of-service Krzysztof Kraszewski
quelle
1
serverfault.com/questions/218005/…
Jonas Schäfer
2
Wenn Sie VestaCP ausführen, lesen Sie bitte diese DigitalOcean-Seite .
Sevvlor
2
@Sevvlor oh Gott. Ich hatte keine Ahnung, dass mein Kollege dieses Ding auf unserem Server installiert hatte. Vielen Dank.
Krzysztof Kraszewski
Auch @JonasWielicki danke für den Link, er wird sich eines Tages als nützlich erweisen.
Krzysztof Kraszewski

Antworten:

20

Eine wahrscheinliche Möglichkeit ist ein Verstärkungsangriff. Wenn Sie beispielsweise einen offenen rekursiven DNS-Resolver ausführen (es gibt jedoch andere Protokolle, mit denen Sie dies tun können), können Sie ein sehr kleines UDP-Paket mit einer gefälschten IP-Adresse empfangen. Ihr Server generiert dann eine große Antwort und sendet sie an das Opfer, wobei er denkt, dass es sich um eine legitime Anfrage handelt.

Eine andere Möglichkeit besteht darin, dass jemand Daten aus Ihrem Netzwerk herausfiltriert hat. Wenn jemand auf Ihren Server gelangt und jedes gefundene Byte entlädt, sieht das auch so aus.

Es gibt keine Möglichkeit zu wissen, um welches es sich handelt, ohne eine Untersuchung durchzuführen und zu hoffen, dass alles, was passiert ist, Beweise hinterlässt. Wenn es das letztere ist (Exfiltration), dann haben sie wahrscheinlich ihre Spuren so gut sie konnten geräumt.

Mark Henderson
quelle
1
Vielen Dank. Ich bin in einer Korrespondenz mit DO, hoffentlich haben sie eine Vorstellung davon, was los war. Nach meiner Untersuchung ist es wahrscheinlich, dass jemand über SSH Zugriff auf unseren Server erhalten hat. Ich akzeptiere Ihre Antwort, da sie meine Frage am genauesten beantwortet, obwohl auch andere Antworten sehr nützlich sind.
Krzysztof Kraszewski
2
@KrzysztofKraszewski Wenn Ihr Kollege kein wirklich ausgefallenes Passwort verwendet / verwendet, scheint mir SSH KEIN wahrscheinlicher Kandidat zu sein. Remote Brute-Forcing ist sehr langsam und laut.
Wird
Wenn der Server kompromittiert wurde, ist ein Verstärkungsangriff sehr unwahrscheinlich. Warum sollten Sie sich mit solch einem trivialen Angriff beschäftigen, wenn Sie den Server gerootet haben? Und Braindead-Passwörter sind bemerkenswert häufig.
Phil Frost
1
@PhilFrost Der Punkt, an dem ich den Verstärkungsangriff erwähnte, war, dass das OP möglicherweise etwas anderes ausführt, das nur auf diese Weise verwendet wird, und dass der Server nicht kompromittiert wurde. DNS ist am häufigsten, aber es gibt auch MOTD und andere seltsame alte Protokolle, die auf diese Weise missbraucht werden können. Es ist eine mögliche Lösung, die zum seltsamen Verkehrsmuster passt.
Mark Henderson
3
memcached ist ein besonders dramatischer Amplifikationsangriff der letzten Zeit
dave_thompson_085
10

Ich stimme der Möglichkeit eines Verstärkungsangriffs zu. Der einfachste Weg, dies zu handhaben, ist die Verwendung der kostenlosen Cloud-Firewall von DigitalOcean .

Erlaube nur SSH, HTTP und HTTPS eingehend. Wenn möglich, erlauben Sie SSH nur von Ihren vertrauenswürdigen IPs.

Sie können dies mithilfe der Firewall auf Ihrer VM tun. Die Lösung von DO ist einfach einfacher.

Mike M.
quelle
Vielen Dank für den Tipp, ich werde einige Zeit damit verbringen, unsere Server zu sichern (wie ich es vor einiger Zeit sollte).
Krzysztof Kraszewski
5

Sie sollten Digital Ocean fragen. Sie schalten Server nicht nur für hohen ausgehenden Datenverkehr aus. Dies würde die meisten Server herunterfahren. Zum Beispiel ein Webserver, der etwas Populäres hostet.

Vielmehr haben sie Ihren Server heruntergefahren, weil die Art Ihres Datenverkehrs bösartig aussah. Als solche haben sie wahrscheinlich eine Vorstellung davon, was es war.

Andernfalls müssen Sie sich selbst untersuchen. Wenn der Host noch ausgeführt wird, versucht er möglicherweise immer noch, Datenverkehr zu senden, der von Digital Ocean gelöscht wird. In diesem Fall können Sie dies mit einem Paketspeicherauszug beobachten. Oder Sie finden möglicherweise Hinweise in den Systemprotokollen. Es könnte leider eine von Millionen Dingen sein, daher ist es zwecklos, über die zugrunde liegende Ursache zu spekulieren, wenn eine solche Untersuchung nicht durchgeführt wird.

Phil Frost
quelle
Schauen Sie sich meinen Kommentar unter Mike Ms Antwort an. Es sieht so aus, als hätte jemand auf unseren Server zugegriffen und damit einen Angriff ausgeführt. Vielen Dank für Ihre Antwort.
Krzysztof Kraszewski