web-dev-qa-db-ja.com

私のサーバーは、ddos攻撃を実行するためにホストの悪用を報告されました。私は何をすべきか?

サーバー上に疑わしいものは何も表示されません(リモート80ポートへのnetstat接続はありません)が、私はプロのサーバー管理者ではありません(私はハードコアソフトウェア開発者です)。明白なコメントを書かないでください(専門家/会社を雇ってください)-この問題が解決された後、私たちはそれを考慮します。サーバーはWindowsServer 2008R2で実行されています。この状況を分析するには、どのツールを使用する必要がありますか?

基本的にサーバーがクリーンであるという証拠を提供する必要があるため、これは複数の「サーバーがハッキングされた場合の対処方法」の正確な複製ではありません。

最初から基本的なセキュリティ対策が講じられていました(Windowsファイアウォールがオン、Windows Updateのパターチェが適用され、Clamwinが稼働しています)。

4
Nikolay R

明白なコメントを書かないでください(専門家/会社を雇ってください)-この問題が解決された後、私たちはそれを考慮します。

申し訳ありませんが、その時点でそのセキュリティインシデントを適切に管理していません。

家に火事があったら、消火するのを待ってから消防士に電話しますか?

この種のインシデントを処理できるスタッフがいない場合は、セキュリティ違反を管理できる外部リソースから支援を受ける必要があります。

19
Alex

インシデントへのサーバーの関与を示すログを作成するようにISPに依頼します(たとえば、ISPのルーターまたはスイッチからのデータによって生成された疑わしいトラフィックグラフ)。彼らがそのような証拠を生み出すことができるならば、あなたのシステムは疑わしいです。

マシンが実際にDoS攻撃に関与していて、そのようなアクションを自分で開始しなかった場合、マシンはほぼ確実に危険にさらされています。システムが侵害された場合、あなたが得る最善のアドバイスは、 侵害されたサーバーにどう対処するか? またはそれに類似した他の質問のように、それを吹き飛ばすことです。

システムがハッキングされたかどうかを判断するために、システムにインストールされている any ツールに依存することはできず、優れた攻撃者は明らかな痕跡を残さないことに注意してください(外部システム)。システムが侵害されたの疑いがある場合は、 is 既知のクリーンなメディアとソフトウェアで再構築されるまで、まだ妥協しています。

11
voretaq7

私たちの元ホスティング会社は、私たちが新しいサーバーを入手したときに私たちに悪いIPアドレスを与えました。その後、IPアドレスがウェブ上のどこかのスパマーブラックリストに含まれていたため、彼らは振り返り、スパムであると非難しました。多くの無駄な時間を費やした後、実際には、以前の顧客がそのIPアドレスからスパムを送信したことがわかりました。何が起こったのか、いつ起こったのか、誰が報告したのかなどを証明してもらいます。AFAIK誰でも、多くの証拠がなくても、これらのサイトのほとんどにIPアドレスを報告できます。

5
jqa

システムが危険にさらされていないことを確認することはできません。システムの稼働時間、信頼性、整合性などの重要性に基づいて、システムに適切なセキュリティと整合性を実装することしかできません。ノウハウがなければ、システムを保護するように合理的に要求することはできません。

2
Stig H.

サーバーがDDoS攻撃を実行していないからといって、nowは、それが以前に実行されていないことを意味するわけではありません。確かには、サーバーが実行されていないことを意味しません。 tハッキングされました。

DCに、サーバーが攻撃に参加していることを示すトラフィックログがある場合は、それが必要なすべての証拠になります。ログのコピーを取得すると、サーバーの問題点を特定するのに役立つ場合があります- -タイミングに特に注意してください。

これは、average管理者トレーニングを受けている人の仕事ではありません。このようなものを追跡することは難しい可能性があり、あなたが知っているすべてのトリックとあなたが知らない多くのトリックを使用する必要があります。あなたは非常に大きな干し草の山の中から非常に小さな針を探しているかもしれません。経験豊富な管理者でさえ、この種のものに問題を抱えています。

1
tylerl