我们有一台Gentoo Linux服务器(每周或每周更新一次),上级声称在整个本地networking上进行拒绝服务攻击,并将其closures。
是否有任何日志文件,我们可以看看这个证据? 我们无法访问他们的工具或日志。
(我们对这次攻击的主张有点怀疑,因为声称涉及两台Windows服务器和Gentoo盒子,据称所有这些盒子都有病毒造成整个networking超载。他们一直希望我们在这些盒子上运行的服务为他们自己一年或更多,他们没有提供证据的攻击,这个职位是我试图find在自己的盒子上的证据)。
你有几个select深入你如何深入这一点。
使服务器完全脱机,启动取证启动盘之一,并开始寻找任何可能是实际操作系统的变化。 / usr / bin / / usr / lib / etc / / sbin,显然忽略/ usr / portage。
安装rkhunter并运行它。 如果盒子受到严重损害,可能找不到任何东西,但值得一试。
数据包从另一台机器嗅探Gentoo服务器的以太网端口,您需要访问交换机和pipe理型交换机才能正确执行此操作。 您可以尝试从机器本身嗅探,但是如果它严重受损,您可能看不到任何东西。
如果您控制服务器和他们之间的防火墙,请尝试在RPC端口上添加一些许可证规则并logging。
假设您仍然认为问题实际上是另一端,请召开会议。 请求应用程序日志,错误,系统日志等。认真对待所有事情。 方式认真。 如果你的服务器已经被攻破,那么他们可能也是,他们必须完全重build他们的机器。 他们全部。 除非我们能弄清楚究竟发生了什么。 一个完整的系统重新安装的威胁通常足以让人们咳嗽到真正发生的事情,但是要根据你的实际政治资本,团体等来调整。吮吸,但是有时候政治必须被发挥。 也可以玩好。
最后,如果你的Gentoo机器已经被破坏,你将不得不从头开始重build它。 即使是脱机,chroot和运行emerge – 世界不会清理它。
iptables支持日志logging(-j LOG)。 我用它来debugging防火墙规则和DoS检测。