Mi proveedor suspendió mi VPS diciendo que fue el origen de un ataque Dos. Me mostraron algunos registros:
2017.03.26 21:53:20 CEST XX.My.IP.XX :55987 XX.VIC.IP.XX :8631 TCP SYN 910 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :54566 XX.VIC.IP.XX :8631 TCP SYN 907 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :19213 XX.VIC.IP.XX :8631 TCP SYN 893 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :56428 XX.VIC.IP.XX :8631 TCP SYN 912 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :8119 XX.VIC.IP.XX :8631 TCP SYN 931 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :33778 XX.VIC.IP.XX :8631 TCP SYN 903 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :26726 XX.VIC.IP.XX :8631 TCP SYN 922 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :59115 XX.VIC.IP.XX :8631 TCP SYN 890 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :46929 XX.VIC.IP.XX :8631 TCP SYN 935 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :16332 XX.VIC.IP.XX :8631 TCP SYN 887 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :64478 XX.VIC.IP.XX :8631 TCP SYN 901 ATTACK:TCP_SYN
2017.03.26 21:53:20 CEST XX.My.IP.XX :59421 XX.VIC.IP.XX :8631 TCP SYN 906 ATTACK:TCP_SYN
Como puede ver, mi dirección IP envía tráfico desde varios puertos a un servidor en un puerto único.
Pedí una forma de investigar, me dieron acceso a SSH, pero no encontré mucho.
Revisé los registros y los archivos, Nada.
Revisé los procesos en ejecución, las conexiones en curso.
Le pregunté al tipo de servicio que estaba siendo afectado en el puerto 8631 pero esperando una respuesta.
Mi servidor albergaba un sitio web de Tor para un proyecto, solo HTML / CSS / js. Eso es. Nada lujoso.
¿Cómo puedo saber si fue realmente mi IP? Dado que es principalmente TCP, ¿es posible que mi Servicio Tor haya transmitido un ataque de DOS?
¿Podría ser un accidente (mi servicio Tor intenta alcanzar un nodo y repite la misma consulta) ¿Algún consejo forense que no conozca?