Tenemos un servidor Linux con WHM / cPanel que ha estado funcionando sin problemas durante casi 3 años. Ayer, el servidor dejó de responder (aunque definitivamente estaba allí) durante aproximadamente una hora. Poco después recibimos un correo electrónico que dice que nuestro servidor está involucrado en un netscan:
Mon Oct 8 03:30:24 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP 80
Mon Oct 8 02:57:16 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_2 80
Mon Oct 8 03:26:43 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80
Mon Oct 8 03:26:52 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80
Mon Oct 8 03:13:13 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80
Mon Oct 8 03:13:15 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_4 80
Mon Oct 8 03:21:23 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_4 80
...
...
MANY LINES LATER
...
...
Mon Oct 8 02:45:11 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_1 1234
Mon Oct 8 03:19:43 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_2 1234
Mon Oct 8 03:24:00 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_3 1234
Mi primer pensamiento fue que nos comprometimos, sin embargo, después de revisar registros, historiales, bases de datos, etc., no veo ninguna indicación de eso. Obviamente, el atacante puede haber cubierto bien sus huellas, pero no veo ninguna razón en este punto para creer lo contrario.
Mi pregunta es, ¿existen ataques en los que un ataque pueda rebotar en nuestro servidor para golpear a otro servidor, ralentizando así nuestro servidor pero sin comprometerlo realmente? Si es así, ¿cómo se llaman para que yo pueda investigarlas? Así se vería algo así como:
- El atacante envía una multitud de paquetes a mi servidor.
- Mi servidor recibe paquetes en los puertos especificados (que parecen ser 22 y 80). Mi servidor analiza los paquetes y dice "Este paquete está destinado a SOME_IP en el puerto 80. Será mejor que lo reenvíe a ellos"
- Mi servidor reenvía los paquetes.
Cualquier ayuda sería muy apreciada.