Поступили жалобы на вредоносную деятельность, источником которой является ваш сервер.
Обратите внимание на то, что это противоречит нашим Правилам пользования услугами.
И при повторных инцидентах мы будем вынуждены прекратить обслуживание вашего сервера и расторгнуть договор.
Возможно, на вашем сервере произошел несанкционированный доступ (взлом).
Пожалуйста, примите меры и сообщите нам о достигнутых результатах.
Жалобное письмо
Subject: Exploitable portmapper service used for an attack: <IP>
Date: 2016-06-26 03:27
From: NFOservers.com DDoS notifier <ddos-response@nfoservers.com>
To: <хостер>
A public-facing device on your network, running on IP address
<IP>, operates a RPC port mapping service responding on UDP port
111 and participated in a large-scale attack against a customer of ours,
generating responses to spoofed requests that claimed to be from the
attack target.
Please consider reconfiguring this server in one or more of these ways:
1. Adding a firewall rule to block all access to this host's UDP port
111 at your network edge (it would continue to be available on TCP port
111 in this case).
2. Adding firewall rules to allow connections to this service (on UDP
port 111) from authorized endpoints but block connections from all other
hosts.
3. Disabling the port mapping service entirely (if it is not needed).
More information on this attack vector can be found at this third-party
website (we did not create this content):
http://blog.level3.com/security/a-new-ddos...o-the-industry/
Example responses from the host during this attack are given below.
Date/timestamps (far left) are UTC.
2016-06-25 22:46:44.886774 IP <IP>.111 > 74.201.57.x.80: UDP, length 628
0x0000: 4500 0290 6f5d 4000 3111 b27a 5e7f 4319 E...o]@.1..z^.C.
0x0010: 4ac9 3924 006f 0050 027c ca95 6572 0a37 J.9$.o.P.|..er.7
0x0020: 0000 0001 0000 0000 0000 0000 0000 0000 ................
0x0030: 0000 0000 0000 0001 0001 86a0 0000 0004 ................
0x0040: 0000 0006 0000 006f 0000 0001 0001 86a0 .......o........
0x0050: 0000 ..
2016-06-25 22:46:44.887085 IP <IP>.111 > 74.201.57.x.80: UDP, length 628
0x0000: 4500 0290 6f5e 4000 3111 b279 5e7f 4319 E...o^@.1..y^.C.
0x0010: 4ac9 3924 006f 0050 027c ca95 6572 0a37 J.9$.o.P.|..er.7
0x0020: 0000 0001 0000 0000 0000 0000 0000 0000 ................
0x0030: 0000 0000 0000 0001 0001 86a0 0000 0004 ................
0x0040: 0000 0006 0000 006f 0000 0001 0001 86a0 .......o........
0x0050: 0000 ..
2016-06-25 22:46:44.887098 IP <IP>.111 > 74.201.57.x.80: UDP, length 628
0x0000: 4500 0290 6f5f 4000 3111 b278 5e7f 4319 E...o_@.1..x^.C.
0x0010: 4ac9 3924 006f 0050 027c ca95 6572 0a37 J.9$.o.P.|..er.7
0x0020: 0000 0001 0000 0000 0000 0000 0000 0000 ................
0x0030: 0000 0000 0000 0001 0001 86a0 0000 0004 ................
0x0040: 0000 0006 0000 006f 0000 0001 0001 86a0 .......o........
0x0050: 0000 ..
(The final octet of our customer's IP address is masked in the above
output because some automatic parsers become confused when multiple IP
addresses are included. The value of that octet is "36".)
В чем дело так и не понял, хостер пока молчит.
О сервере.
# cat /etc/os-release
NAME="Ubuntu"
VERSION="14.04.4 LTS, Trusty Tahr"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 14.04.4 LTS"
VERSION_ID="14.04"
Пароль рута был установлен длинный, сложный и забыт. Пароль пользователя тоже установлен длинный и сложный.
Что сделал. Выполнил проверку с помощь clamav, rkhunter, а так же ручной мониторинг логов, запущенны процессов и открытых портов.
Ничего подозрительного не нашёл.
Для профилактики сменил пароли пользователя и root`a.
разрешил доступ по ssh только с одного моего ip и только для пользователя.
Куда ещё посмотреть? По ссылке из письма ничего не понял
Или проще и надёжней заказать переустановку?
