Tengo un servidor web (centos + cpanel) y uno de los clientes usó mi servidor para DDoS, ¿cómo puedo identificar a ese cliente / usuario?
En qué registros debo consultar, ¿hay alguna configuración que pueda modificar para que esas cosas no vuelvan a suceder en el futuro?
Gracias
Asegúrese de que su firewall esté activado y escanee su propio host con nmap para buscar puertos que no deberían estar abiertos.
Si su cliente solo puede usar scripts de PHP o Shell, puede limitar el tiempo y la memoria que sus scripts pueden usar. Esto hace que sea más difícil, pero no imposible, hacer un ataque.
Si su sistema está comprometido, ya puede NO CONFIANZA . ¡Los rootkits pueden ocultarse mucho, incluido el envío de estadísticas incorrectas en la parte superior o el uso del disco!
EDIT
Si se trata de un VPS, sospecho que tienes una IP del destino que ha estado atacando. Si no es así, solicite la IP.
Si está utilizando NAT, pídales que le envíen el rango de puertos desde donde ocurrió el ataque. Para que pueda identificar el VPS que ha estado causando problemas.
Si el DDOS está activo en el momento de la investigación, generalmente puede detectarlo por el hecho de que se encuentra en el estado de ejecución "R", para realizar continuamente nuevas conexiones (pruébelo varias veces):
ps uaxwf | grep ' R'
Si no es así, entonces puede verlo por las conexiones de red que está realizando. Las conexiones realizadas por los scripts PHP y CGI del usuario son sospechosas:
netstat -antup
Por lo general, los scripts DDOS son scripts PHP o CGI que se ejecutan sin privilegios de root. Si encuentra DDOS ejecutándose con privilegios de root, entonces tiene un problema.
Si permites conexiones entrantes, entonces puedes tener un shell de escucha:
netstat -lntup
Si falla esto, puede buscar un gran volumen de POST recientes en un solo sitio. No todos los armazones de las puertas traseras usan POST, pero es muy popular. Esto lo hará:
find /usr/local/apache/domlogs -type f -mmin -10 -maxdepth 1 |
xargs tail -F -n 10 | grep POST
Si encuentra algo inusual como rsknnf.php , es probable que sea un shell de puerta trasera, aunque ocasionalmente están ocultos a unos pocos niveles en el código fuente de algunos CMS. Si encuentras uno, mata la cuenta.
A medida que esté ejecutando máquinas virtuales, solo debe revisar el firewall, el ancho de banda y los gráficos de la CPU de la máquina virtual, ya que es muy probable que muestren un pico, y entonces sabrá a qué cliente culpar.
Si ha cometido un error y no tiene configurada ninguna supervisión de recursos (y, por lo tanto, no sabe cómo ocurrió), probablemente debería borrar el servidor para estar seguro y comenzar de nuevo, y hacerlo correctamente esta vez. .
Puede limitar el acceso de sus clientes a los recursos, como los paquetes por segundo y el ancho de banda, pero en algunos casos, esto podría dar a sus clientes una mala experiencia.
Probablemente, lo mejor es monitorear y reaccionar ante actividades sospechosas.
Lea otras preguntas en las etiquetas ddos