Исходящая DDOS атака. Откуда?

[AndrewDK]

С сайта идет исходящая ДДОС атака.
Как найти откуда идет и как нейтрализовать?
Стоит ISPmanager.

Хостер заблочил акк. В данный момент разблокировал, но если не найду неисправность заблочат навсегда.

 

[despainer]

С сайта идет исходящая ДДОС атака.
Как найти откуда идет и как нейтрализовать?
Стоит ISPmanager.
Хостер заблочил акк. В данный момент разблокировал, но если не найду неисправность заблочат навсегда.

netstat в помощь.....
man netstat
исходящая ддос? ДДос с вашего сайта?


краткий аглоритм действий!

1. Ставим и собираем библиотеку libastral.so
2. Смотрим список процессов и находим тот процесс который отправляет данные (можно поиграцца запретом функций.
3. Мочим его и его потомков отправкой команды killall -9 имя проыесса (подброобнее man killall)
4. Удаляем вредителя

 

[strij]

Т.е. вы атакуете другой сайт? Как хостер это определил? Если так, то скорее всего сайт взломали и поставили где-то shell, через который и идет странный трафик.

 

[lionspb]

С сайта идет исходящая ДДОС атака.
Как найти откуда идет и как нейтрализовать?
Стоит ISPmanager.
Хостер заблочил акк. В данный момент разблокировал, но если не найду неисправность заблочат навсегда.

Было такое. Достаточно быстро нашел - в php скрипт клиента был внедрен хитрый код который в свою очередь на некоторое время запускал perl скрипт с DDOS.

Борьба:
1. как уже сказано выше netstat, еще можно top понаблюдать какой юзер хавает много cpu и RAM, внимательно смотреть на все perl скрипты.
2. после удаления,!!!Обязательно!!!
а. проверить комп клиента на трояны,вирусы итд,
b. сменить юзеру пароль, ибо есть вероятность что у
последнего сперли ftp пароль и после удаления сайт будет взломан опять.
с. проверить содержимое каталогов пользователей антивирусом.

 

[justelectro]

Скачайте дампи вашего сайта себе на комп и поставте сервер на локалкохсе для теста.

 

[Akcium]

ну для атаки достаточно ява скрипта в шаблоне, тут конечно смотреть надо...

 

[justelectro]

Тут может быть несколько вариантов, один из которых это то, что у вас сторонний код в шаблоне, либо в самом двиге, а может и вообще в одном из ваших модулей ... Одним словом ставьте только скрипты\модули с проверенных источников .

 

[serega2s]

Как уже говорили либо установили двиг с бекдором.
Либо сайт взломали, что более вероятно.
У меня тоже такое было.
Там расклад такой был.
Хакер взламывал сайт с посещаемостью 1000+ и просто вставлял iframe на все взломанные сайты, это iframe бомбил какой-то забугорный сайт.


Что делать:
ну если есть возможность, то снести все нафиг, и поставить другой движок, в смысле новее, если есть конечно.

Или копаться и искать все запрятанные веб шелы. И копаться в коде искать все пакости что паразит наделал, но найти все почти нереально.
обращай внимение на faq.php и т.д.
А кого все вычистишь, то обновлсять движок.
В общем очень неприятное попадалово.