Ejecutamos un servidor de correo (postfix / dovecot / centos 6.4). El hardware se basa en un chasis supermicro con características de IPMI.
También ejecuta una interfaz web para los correos electrónicos (servidor web Apache)
Recientemente, nuestro DC dijo que estamos enviando ataques DDOS salientes que alcanzaron hasta 1.3Gbps según lo dicho. Anularon la IP. Después de nuestra solicitud, se vuelve a activar la IP.
Ahora estamos monitoreando el servidor de manera regular y observamos traffcis de salida anormales a una tasa promedio de 2 Mbps (no enviamos tantos correos electrónicos) con picos de hasta 30 Mbps después de cada período de 30 minutos (según los datos de New Relic Monitor)
El proveedor dijo que podríamos estar ejecutando ataques de reflexión DDOS. Los inicios de sesión del servidor son seguros y el registro de autenticación no dice nada anormal
No tenemos ningún servidor DNS en ejecución. Además, NTP se ejecuta en modo cliente y está protegido.
nettop, iptraffic, nethogs muestran todo lo normal, solo resumen de tráfico recibido y recibido en ifconfig dice acerca de la gran cantidad de datos enviados.
También inhabilitamos al cliente NTP en nuestra IPMI cuando leí que supermicro IPMI es vulnerable a la reflexión DDOS de NTP.
En este punto, no tengo ni idea y busco ayuda de expertos aquí. Las ayudas serán apreciadas