DoS támadás lenyomozása

Security-all

Sziasztok!
Egyik ismerősöm nevében kérdezek. Van neki egy szervere egy szolgáltatónál, amelyik tegnap 1 órán keresztül nem volt elérhető. A szerveren szokásos 80-as, 443-as, és valami nem szabványos porton SSH port van nyitva. Az Apache PHP-t + MySQL-t futtat. Valószínűleg DoS támadás volt, a szolgáltató szerint nagy volt a gépre bemenő forgalom, mely rebút után megszűnt.
Az a kérdésem, hogy nem tudjátok véletlenül, hogyan lehetne utólag kideríteni, melyik service-en keresztül volt DoS támadás? És azon belül hogyan történt?
Köszi!

  • 4346 megtekintés

( coder | 2006. 09. 21., cs – 14:17 )

DoS reboot után megszűnt?! Ez érdekes volna... semmi köze hozzá, hogy a gép újraindul e vagy sem...

Ha DoS -ról volt szó akkor egyértelműen kiderül a logokból, mert trillió kérés egymás után sűrűn egy helyről és máris fel van derítve...

Ha DDos, akkor szinte biztos hogy felejtős, mert egy rakat zombi gép támadt más - más helyekről és hogy azokat éppen honnan és ki irányította az esetek többségében nem kideríthető...

( treddy | 2006. 09. 21., cs – 15:57 )

Titok hogy melyik szolgáltatónál van az a szerver? Tegnap nekem is panaszkodtak valami hasonlóról.

( Kicsipuha | 2006. 09. 21., cs – 17:38 )

Ha annyira bizonytalan vagy, akkor a szolgáltatód is tárolja a szerveredhez címzzet requesteket. Nekem egyszer volt DoS, de akkor is érkeztek a kérések, miután a gépemet egy fél rára leállítottam. Amikor kaptam új IP-t a cégtől, a dolog megszünt. A lenyomozás pedig reménytelen. Nem tilthatod az egész világhálót.

Dos lehet attól is, hogy valaki egy exploiton keresztül kiüt egy gépet, vagy csak egy szolgáltatás. De ha simán sok kérés volt az pár iptables szabályal ki lehet kerülni, másodperecnként üzenetek beszabályozásával.
---
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station