UDP inundado de mi máquina o falso positivo

Navega tus respuestas
6

La compañía que aloja mi servidor dedicado me ha avisado de lo que creen que es el tráfico malicioso que viene de mi máquina. Me proporcionaron gráficos que mostraban una gran cantidad de tráfico UDP proveniente de la dirección IP de mi máquina y otra máquina en su red, ambas dirigidas a una dirección que parece ser un host web ruso. El tráfico duró aproximadamente 15 minutos, fue de aproximadamente 80 Mbps, y ocurrió en un día cuando estaba fuera de la ciudad y no había iniciado sesión en el servidor ni había hecho nada especial con él. Mi máquina está ejecutando debian. Mi webhost dice que "eliminaron la ruta nula y parece que no se inicia de nuevo". (No sé qué significa eso.) Corrí un detector de rootkits llamado rkhunter y no encontré nada.

No tengo ningún conocimiento avanzado de seguridad, por lo que es difícil para mí evaluar si esto es una evidencia sólida de que mi máquina ha sido comprometida. Noté lo siguiente en esta respuesta :

  

¿Está seguro de que su servidor es la fuente de los paquetes? Es fácil falsificar la dirección de origen de los paquetes UDP.

¿La información de mi host web es una evidencia sólida de que mi máquina ha sido comprometida y de que necesito que hagan una reinstalación?

    
pregunta Ben Crowell 17.08.2015 - 04:40
fuente

2 respuestas

7

Recibió el informe de su proveedor de alojamiento. Podrían saber si el tráfico se originó en su servidor o si fue falsificado. Entonces, si su proveedor de alojamiento es competente, lo más probable es que el informe sea correcto.

Si estuviera en tus zapatos, hay dos cosas que haría. Le preguntaría al proveedor de alojamiento si puede enviar una captura de paquetes de algunas muestras del tráfico de inundaciones. Después de inspeccionar el rastreo del paquete, uno estará en una posición mucho mejor para juzgar la exactitud del informe. Además, me gustaría iniciar sesión en el servidor y ejecutar ifconfig para ver cuánto tráfico ha enviado la máquina desde que se reinició por última vez. (Tenga en cuenta que si se trata de un sistema de 32 bits, el contador se ajusta a 4 GB y, por lo tanto, no se garantiza que sea preciso).

Si su host envió un flujo de paquetes UDP, hay diferentes maneras en que podría haber ocurrido. Pero la explicación más probable es algún tipo de compromiso. No es necesario comprometer la cuenta raíz para iniciar una inundación de paquetes UDP, comprometiendo cualquier cuenta individual. Puede ver si un socket todavía está vinculado al puerto de origen del tráfico de inundación. Si tiene suerte, puede encontrar el programa que origina el tráfico de esa manera. En algunas ocasiones he visto un programa legítimo que produce accidentalmente una avalancha de paquetes sin que haya ocurrido ningún compromiso. Si tiene algún software desarrollado internamente que se comunique a través de UDP, esto puede ser lo que le sucedió.

En caso de que resulte que el proveedor no tenga un seguimiento de paquetes para mostrarle, y el conteo de bytes en la interfaz de red no indica que se haya enviado una gran cantidad de datos, y no puede encontrar evidencia de un compromiso del sistema, entonces puede ser que el proveedor simplemente haya enviado un informe falso que recibió sin realizar su propia investigación.

    
respondido por el kasperd 17.08.2015 - 08:36
fuente
2
  

No tengo ningún conocimiento avanzado de seguridad

Ese es el problema aquí.

¿Tiene instalado un iptables / packetfilter (vulgo: firewall) de filtrado de salida?

  

¿La información de mi host web es una evidencia sólida de que mi máquina ha sido comprometida y de que necesito que hagan una reinstalación?

Probablemente: sí (reinstalar). Su servidor debe ser considerado explotado.

Pero como una simple reinstalación no eliminaría la causa raíz del ataque inicial (¿webapp? ¿contraseñas malas + fuerza bruta?     

respondido por el that guy from over there 17.08.2015 - 06:59
fuente

Lea otras preguntas en las etiquetas

marcos de administración protegidos 802.11w - Wi-Fi ¿Cómo puede uno crear su propio servidor de análisis antivirus en casa? [cerrado]