目前,守护进程运行如下:
sshd的
Nginx的
后缀
达夫科特
PHP5-fpm(仅限localhost)
spampd(仅限localhost)
clamsmtpd(仅限localhost)
鉴于服务器是100%重建的,我找不到任何针对上述守护进程的严重漏洞,密码已经改变,ssh密钥甚至不存在于重建等等……这似乎不太可能是正在用于DoS地址的折衷方案.
提供的IP在线标注为已知的SPAM源.我最初的假设是它试图使用我的后缀服务器作为中继,并且它提供的虚假地址是那些注册为其名称服务器的IP的域.我想,鉴于我的postfix配置,对SPF信息之类的东西的DNS查询的数量将等于或大于发送的垃圾邮件发送数量.
Linode和6Sync都表示出站流量非常不成比例.以下是我从Linode收到的有关出站流量的所有信息:
21:28:28.647263 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain] 21:28:28.647264 IP 97.107.134.33 > 31.193.132.138: udp 21:28:28.647264 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain] 21:28:28.647265 IP 97.107.134.33 > 31.193.132.138: udp 21:28:28.647265 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain] 21:28:28.647266 IP 97.107.134.33 > 31.193.132.138: udp
6sync无法确认最近出站流量的峰值是否是相同的IP或DNS,但我已经假定为这样.现在我的服务器正在阻止整个31.0.0.0/8子网,以帮助我解决这个问题.
任何人都知道发生了什么事吗?
解决方法
>当你在[虚拟]网络接口上运行tcpdump时,你能看到这种流量吗?如果是这样 – 你能否试着弄清楚是否有每日/每小时模式?您可以创建iptables规则来计算流量,然后允许munin plugin收集统计数据.
>您可以尝试确定哪个应用正在生成此流量?我在这里看到两种方法:
>残酷的方法是等到流量显示并开始一个接一个地杀死应用程序.
>温和的方法 – 在OUTPUT链上使用iptables,在端口53上使用owner match到log输出数据包到syslog.类似于:iptables -I OUTPUT -p udp –dport 53 –match owner –uid-owner 33 -j LOG –log-prefix“uid 33”应用于所有使用过的uid.检查syslog以查看哪个进程生成了不需要的流量.
>你有本地DNS服务器[例如绑定]运行?如果是这样:
>还可以在环回上嗅探,看看哪些应用可能会发送导致不需要的流量的请求.
>外部服务器可以与您的DNS服务器通信吗?如果是这样 – 也许这是某种反向散射攻击,你的服务器从欺骗性地址接收数据包并响应轰炸受害者.
