¿Cuál es la causa probable del tráfico entrante extremadamente bajo y el tráfico saliente alto?

9

Ayer, nuestro servidor Digital Ocean encontró algo que parecía un ataque. El tráfico de salida aumentó repentinamente a 700Mbps, mientras que el tráfico entrante se mantuvo en aproximadamente 0.1Mbps, y no aumentó ni una sola vez. El tráfico duró varios minutos hasta que Digital Ocean cortó nuestro servidor de la red asumiendo que estamos realizando un DoS (lo cual es razonable).

Tengo dos suposiciones: o alguien hackeó nuestro servidor (después del ataque me di cuenta de que mi colega había habilitado el inicio de sesión SSH con contraseña) o hay algún tipo de ataque que no conozco.

¿Alguien puede aclararme esta situación? Si de hecho hay un tipo de DoS cuyo tráfico se ve así, por favor, infórmeme.

Krzysztof Kraszewski
fuente
2
Si está ejecutando VestaCP, asegúrese de mirar esta página de DigitalOcean .
Sevvlor
2
@Sevvlor oh dios. No tenía idea de que mi colega había instalado esto en nuestro servidor. Gracias.
Krzysztof Kraszewski
También @JonasWielicki gracias por el enlace, algún día será útil.
Krzysztof Kraszewski

Respuestas:

20

Una posibilidad probable es un ataque de amplificación. Si está ejecutando un solucionador DNS recursivo abierto (aunque existen otros protocolos con los que puede hacer esto), por ejemplo, puede recibir un paquete UDP muy pequeño que tiene una dirección IP falsificada. Luego, su servidor genera una gran respuesta y la envía a la víctima, pensando que es una solicitud legítima.

Otra posibilidad es que alguien extrajera datos de su red. Si alguien ingresara a su servidor y descargara cada byte que pudieran encontrar, también se vería así.

No hay forma de saber cuál era sin hacer una investigación, y esperar que lo que sucediera dejara evidencia. Si es lo último (exfiltración), entonces probablemente despejaron sus pistas lo mejor que pudieron.

Mark Henderson
fuente
1
Gracias. Estoy en correspondencia con DO, espero que tengan una idea de lo que estaba sucediendo. Según mi investigación, es probable que alguien haya accedido a nuestro servidor a través de SSH. Estoy aceptando su respuesta, ya que es la más precisa al responder mi pregunta, aunque otras respuestas también son muy útiles.
Krzysztof Kraszewski
2
@KrzysztofKraszewski A menos que su colega esté / estaba usando una contraseña realmente loca, SSH NO me parecería un candidato probable. La fuerza bruta remota es muy lenta y ruidosa.
Será el
Si el servidor se vio comprometido, un ataque de amplificación parece muy poco probable. ¿Por qué molestarse con un ataque tan trivial cuando has rooteado el servidor? Y las contraseñas de braindead son notablemente comunes.
Phil Frost
1
@PhilFrost El punto de que mencioné el ataque de amplificación fue que es posible que el OP esté ejecutando algo más que solo se está utilizando de esa manera y que el servidor no se haya visto comprometido. El DNS es el más común, pero también hay MOTD y otros protocolos antiguos extraños que se pueden abusar de esta manera. Es una posible solución que se ajusta al patrón de tráfico extraño.
Mark Henderson
10

Estoy de acuerdo con la posibilidad de un ataque de amplificación. La forma más sencilla de manejar esto es usar el firewall gratuito en la nube de DigitalOcean .

Solo permita la entrada de SSH, HTTP y HTTPS. Si es posible, solo permita SSH desde sus IP de confianza.

Puede hacerlo utilizando el firewall en su VM, la solución de DO es simplemente más fácil.

Mike M
fuente
Gracias por el consejo, pasaré un tiempo asegurando nuestros servidores (como debería hace un tiempo).
Krzysztof Kraszewski
5

Deberías preguntarle a Digital Ocean. No apagan los servidores solo por un alto tráfico saliente: eso cerraría la mayoría de los servidores. Por ejemplo, un servidor web que aloja algo popular.

Más bien, cerraron su servidor porque la naturaleza de su tráfico parecía maliciosa. Como tal, probablemente tengan alguna idea de lo que era.

De lo contrario, tendrá que investigar usted mismo. Tal vez si el host todavía se está ejecutando, todavía está intentando enviar tráfico que está siendo descartado por Digital Ocean. En ese caso, podría observarlo con un volcado de paquetes. O puede encontrar pistas en los registros del sistema. Desafortunadamente, podría ser cualquiera de un millón de cosas, por lo que especular sobre la causa subyacente en ausencia de tal investigación es inútil.

Phil Frost
fuente
Mira mi comentario bajo la respuesta de Mike M. Parece que alguien accedió a nuestro servidor y lo usó para realizar un ataque. Gracias por su respuesta.
Krzysztof Kraszewski