Trebuie să investigăm de ce serverul nostru a folosit DDOS furnizorul nostru de servicii gazdă

Salutare tuturor și sper că cineva poate să-mi dea un prim pas prin care pot începe să investighez motivul pentru a afla de ce serverul nostru Linux pare să fi atacat furnizorul nostru de servicii unde este găzduit serverul.

Astăzi am primit e-mail că unul dintre serverele noastre compromite unul dintre clienții furnizorilor noștri de servicii ca parte a unei rețele botnet DDoS coordonate, așa că a trebuit să-l anuleze pentru a atenua, așa că a căzut și mai mult sau mai puțin toată afacerea noastră. era jos. Ei au revizuit capturile din acest atac și nu cred că IP-ul nostru adresa a fost falsificată pe baza numărului limitat de gazde distincte atacandu-le.

Acesta este serverul nostru Linux care găzduiește multe servicii diferite conectate la alte servere interne din infrastructură.

Trebuie să investighez și să pot observa atacul care probabil a saturat adaptorul de rețea al sursei. Deoarece dispozitivul sursă este membru al a botnet care este folosit pentru multe atacuri și ar trebui să văd multe altele explozii misterioase de trafic de ieșire DAR PROBLEMA ESTE:

Nu avem nicio monitorizare instalată pe acest server, așa că nu pot monitoriza traficul care ieșea de pe server întrebarea este:

Este posibil să urmărim cumva traficul de ieșire care ataca clienții furnizorului nostru de servicii în Linux? Ceva comenzi care m-ar putea ajuta? Poate există jurnalele înregistrate?

Am o informație despre ultimele marcaje temporale (în partea stângă). Sursă și adrese IP de destinație, protocoale și porturi. Din păcate, nu știu de unde să încep, deoarece acest server nu are nicio monitorizare și nu am cunoștințe mari despre Linux, deoarece sunt destul de disperat acum și, desigur, totul trebuie să se întâmple chiar înainte de Crăciun.

Orice informatie va fi apreciata cu drag.

EDIT: Am folosit jurnalctl de un anumit marcaj de timp și acum pot să văd că există numeroase încercări care încearcă să se conecteze la ssh dar fără succes, o singură sesiune deschisă pentru utilizatorul root cu dat raspuns:

CMD ( [ -x /usr/lib/php/sessionclean ] && /usr/lib/php/sessionclean)

După aceea, sesiunea pentru acest utilizator este închisă.

Știe cineva despre ce ar trebui să însemne asta?

În general, utilizarea lățimii de bandă a rețelei nu este înregistrată sau monitorizată în mod implicit pe serverele Linux. Dacă nu ați instalat un sistem de monitorizare înainte, atunci nu aveți acele date.

Dacă nu v-ați conectat la momentul respectiv, nu veți avea detalii. Cu siguranță nu la nivelul dovezilor că gazda dvs. a trimis anumite fluxuri. Pe viitor, luați în considerare activarea monitorizării și înregistrării, cum ar fi activarea înregistrării noilor conexiuni printr-un firewall.

Faceți o copie de rezervă a gazdei care se comportă greșit în cazul în care veți avea investigații criminalistice pe ea. Nu acordați (copii) acces la rețeaua gazdă și nu-i mai acordați niciodată internetul. Este probabil compromisă.

Distrugeți și reconstruiți gazda din surse bune cunoscute. De exemplu, instalați o nouă copie a sistemului de operare. Restaurați datele din backup.

Ca urmare, obțineți ajutor pentru a efectua o investigație detaliată a cauzei principale despre cum ați fi putut trimite trafic rău intenționat. Conectări ssh reușite, dovezi de malware, software instalat lipsă de corecții de securitate, revizuiți fluxurile descrise de furnizorul dvs. de găzduire. Cu toate acestea, nu putem ajuta cu detaliile din acest format de întrebări și răspunsuri.