Apa kemungkinan penyebab untuk lalu lintas masuk yang sangat rendah dan lalu lintas keluar yang tinggi?

9

Kemarin server Digital Ocean kami menemukan sesuatu yang tampak seperti serangan. Lalu lintas keluar tiba-tiba meningkat menjadi 700Mbps, sementara lalu lintas masuk tetap sekitar 0,1Mbps, dan tidak bertambah sekali pun. Lalu lintas berlangsung selama beberapa menit sampai Digital Ocean memotong server kami dari jaringan dengan asumsi kami melakukan DoS (yang masuk akal).

Saya memiliki dua asumsi: apakah seseorang meretas server kami (setelah serangan saya menyadari bahwa kolega saya telah mengaktifkan SSH login dengan kata sandi) atau ada semacam serangan yang tidak saya ketahui.

Adakah yang bisa membersihkan situasi ini untuk saya? Jika memang ada semacam DoS yang lalu lintasnya terlihat seperti itu, tolong beri tahu saya.

Krzysztof Kraszewski
sumber
2
Jika Anda menjalankan VestaCP, pastikan untuk melihat halaman DigitalOcean ini .
Sevvlor
2
@ Evvlor oh tuhan. Saya tidak tahu rekan saya telah menginstal hal ini di server kami. Terima kasih.
Krzysztof Kraszewski
Juga terima kasih @JonasWielicki untuk tautannya, itu akan membuktikan dirinya berguna suatu hari nanti.
Krzysztof Kraszewski

Jawaban:

20

Satu kemungkinan kemungkinan adalah serangan amplifikasi. Jika Anda menjalankan resolver DNS rekursif terbuka (ada protokol lain yang dapat Anda lakukan dengan ini), misalnya, Anda dapat menerima paket UDP yang sangat kecil yang memiliki alamat IP palsu. Server Anda kemudian menghasilkan respons besar dan mengirimkannya ke korban, berpikir bahwa itu adalah permintaan yang sah.

Kemungkinan lain adalah seseorang melakukan exfiltrating data dari jaringan Anda. Jika seseorang masuk ke server Anda dan sedang membongkar setiap byte yang dapat mereka temukan, itu akan terlihat seperti itu juga.

Tidak ada cara untuk mengetahui yang mana itu tanpa melakukan penyelidikan, dan berharap bahwa apa pun yang terjadi meninggalkan bukti. Jika yang terakhir (pengelupasan) maka mereka mungkin membersihkan jejak mereka sebaik mungkin.

Mark Henderson
sumber
1
Terima kasih. Saya dalam korespondensi dengan DO, semoga mereka akan tahu apa yang sedang terjadi. Menurut penyelidikan saya, kemungkinan seseorang memperoleh akses ke server kami melalui SSH. Saya menerima jawaban Anda karena itu yang paling tepat dalam menjawab pertanyaan saya, meskipun jawaban lain juga sangat berguna.
Krzysztof Kraszewski
2
@KrzysztofKraszewski Kecuali kolega Anda / saya menggunakan kata sandi yang benar-benar braindead, SSH TIDAK akan tampak seperti kandidat yang potensial bagi saya. Remote brute-forcing sangat lambat dan berisik.
Will
Jika server dikompromikan, serangan amplifikasi tampaknya sangat tidak mungkin. Mengapa repot dengan serangan sepele seperti itu ketika Anda melakukan root pada server? Dan kata sandi braindead sangat umum.
Phil Frost
1
@ PhilFrost Maksud saya menyebutkan serangan amplifikasi adalah bahwa ada kemungkinan OP menjalankan sesuatu yang lain yang hanya digunakan dengan cara itu dan bahwa server belum dikompromikan. DNS adalah yang paling umum, tetapi ada juga MOTD dan protokol lama aneh lainnya yang dapat disalahgunakan dengan cara ini. Ini adalah salah satu solusi yang mungkin cocok dengan pola lalu lintas yang aneh.
Mark Henderson
10

Saya setuju dengan kemungkinan serangan amplifikasi. Cara paling sederhana untuk menangani ini adalah dengan menggunakan firewall cloud gratis DigitalOcean .

Hanya izinkan SSH, HTTP, dan HTTPS masuk. Jika memungkinkan, hanya izinkan SSH dari IP tepercaya Anda.

Anda dapat melakukan ini menggunakan firewall pada VM Anda, solusi DO hanya lebih mudah.

Mike M
sumber
Terima kasih atas tipnya, saya akan meluangkan waktu untuk mengamankan server kami (seperti yang saya lakukan beberapa waktu lalu).
Krzysztof Kraszewski
5

Anda harus bertanya pada Digital Ocean. Mereka tidak mematikan server hanya untuk lalu lintas keluar yang tinggi: itu akan mematikan sebagian besar server. Sebagai contoh, server web hosting sesuatu yang populer.

Sebaliknya, mereka mematikan server Anda karena sifat lalu lintas Anda terlihat berbahaya. Karena itu, mereka mungkin tahu apa itu.

Kalau tidak, Anda harus menyelidiki sendiri. Mungkin jika tuan rumah masih berjalan itu masih berusaha untuk mengirim lalu lintas yang dijatuhkan oleh Digital Ocean. Dalam hal ini Anda akan dapat mengamatinya dengan paket dump. Atau Anda mungkin dapat menemukan petunjuk di log sistem. Sayangnya, itu bisa berupa sejuta hal, jadi berspekulasi tentang penyebab yang mendasari absennya penyelidikan semacam itu sia-sia.

Phil Frost
sumber
Lihatlah komentar saya di bawah jawaban Mike M. Sepertinya seseorang mengakses server kami dan menggunakannya untuk melakukan serangan. Terima kasih atas jawaban Anda.
Krzysztof Kraszewski