web-dev-qa-db-ja.com

ソニー(および私のVPSホスティング)は、私のVPSによるサーバーへの攻撃を非難しました。何が起こったのかを知るにはどうすればよいですか?

昨日、私のVPSホスティングプロバイダーは、私のVPSのIPがサーバーを攻撃していると主張して、Sony Entertainmentからの乱用通知を受け取ったため、私のVPS内外のネットワークをブロックしました。

電子メールで、彼らはそれがちょうど1時間だと言いましたが、それでも...

次に、VPSプロバイダーがVPSとの間のすべてのトラフィックをブロックしたため、接続できるのはVNC KVMのみです。

私はこれらのサービスでDebian 9を実行しています:

  • Virtualmin
  • Roundcube
  • Apache2
  • PHP
  • Node.js(pm2、いくつかの実行中のノードアプリ)
  • 標準メールサーバー
  • OpenVPNサーバー

それらのほとんどすべてがインストールされ、Virtualmin GPL

誰かが実際にVPSを使用してDDoS攻撃(または他のボット攻撃)を実際に行ったかどうかを知る方法がわかりません。

私は何をすべきか?

7
Baterka

Virtualminは、定義上、mod_suexecを使用して基本的なサーバーのメンテナンスを行うため、サーバーを管理するためのひどい方法です。はい、私はそれが便利なツールであることを知っていますが、それが生み出す問題が善をはるかに上回ると私を信じています。

これは悪いニュースです。サーバーが危険にさらされています。これから回復するsafe方法はありません。メール、openvpn設定をバックアップし、サーバーにキスしてください。最初からやり直したほうがよい。良いニュースは、あなたが最初からやり直していることです。メールサーバーをセットアップします。それは難しくありません。特定のIPのみにアクセスを許可するopenvpnをセットアップします。不要なすべてのApacheモジュールを無効にします。使用していないすべてのノードアプリを無効にします。不要なすべてのphpモジュールを無効にします。つまり、 最小特権の原則 を使用します。

あなたは最高の* nix管理者になることはできませんが、できるだけコマンドラインを使用してください。ここで重要な教訓を学びました。自分で簡単に物を作ることができます。悪意のある人がサーバーを制御する方が簡単です。私は個人的には常に世界に対してポート80と443のみを開いています。ポート22は常にvpnに対してのみ開いており、vpn自体はオフィスと自宅のIPアドレスにのみアクセスできます。

メールが必要な場合は、987を使用するのが適切なポートですが、それ以外は...そのマシンをロックダウンすれば、他に何も公開する必要はありません。 virtualmin/webmin/etcのようなツールは、最小限の特権の原則を使用して設定されている場合に最適ですが、最終的には本当にあなたの友達ではありません。

3
Mark D