Server CentOS cua em đang bị China tấn công

Bạn nên nêu rõ server chạy dịch vụ gì. Thông qua log dịch vụ để phân tích được các ip tấn công. sử dụng iptables chặn ip tấn công.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Theo mình thì máy server của bạn đã dính mã độc "Thấy network sending out 1 lượng lớn packets. Trong vòng 10 phút thôi có thể lên tới 5Gbs." Bạn nên tìm cách diệt mã độc này.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Chào Anh DiepNV88,

Server Em là 1 database server. Đang chạy mongodb, mysql và oracle. Cộng thêm có java.

Chào Anh nktung,
Căn cứ vào hình 4. Server Em đang bị điều khiển bởi IP này 61.160.194.62 bên TQ sau đó đi DDOS 1 số website khác. Em mà mở server khoản 30 phút là dungluong lên luôn cả trăm GB. Em cũng đang không biết mã độc đang nằm ở đâu trên server. Các Anh vui lòng giúp Em với. Vì Em không rành lắm về cách xác định vị trí mã độc.

Em da install ClamAV len server va quet nhung khong hieu qua.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
maytinh01;n52329 đã viết:
Chào Anh DiepNV88,

Server Em là 1 database server. Đang chạy mongodb, mysql và oracle. Cộng thêm có java.

Chào Anh nktung,
Căn cứ vào hình 4. Server Em đang bị điều khiển bởi IP này 61.160.194.62 bên TQ sau đó đi DDOS 1 số website khác. Em mà mở server khoản 30 phút là dungluong lên luôn cả trăm GB. Em cũng đang không biết mã độc đang nằm ở đâu trên server. Các Anh vui lòng giúp Em với. Vì Em không rành lắm về cách xác định vị trí mã độc.

Em da install ClamAV len server va quet nhung khong hieu qua.
Theo kinh nghiệm sử dụng centos của mình thì có thể server của bạn đã dính một dạng malware làm ngập băng thông card mạng dẫn đến mất mạng công ty.
Bạn nên tìm các dòng anti malware trên linux sử dụng thử, cách cuối cùng là bạn có thể thay thế server hoặc cài lại trước mình cũng làm thế do không loại bỏ hết được malware khỏi server.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cám ơn các Anh đã quan tâm. Em đã làm theo link của Anh nktung. Nhưng quyết định cuối vẫn là cài đặt lại server cho an toàn. Em làm như sau:

1) Mở iftop monitor bandwidth + 1 màn hình console khác dùng lệnh top để monitor services.
2) Ngay khi bị lục băng thộng Em lưu lại ID của services làm lụt băng thông. Sau đó dùng lệnh ps -ef | grep IDcuaservice tìm ra đừơng dẫn của file malware.
3) Em upload lên trang virustotal.com để scan thì phát hiện ra bị dính Linux.Agent.Backdoor.

Các file bị nhiễm có 1 số file là file services của OS luôn nên Em đã quyết định cài lại server để tránh hậu quả để lại.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
ddos ddos attack dos dos attack server centos
Bên trên