私のサーバーの1つに非常に奇妙な問題があります。数分ごとに接続が切断されているようです。
CentOS 6.5 64ビットアーキテクチャで動作し、ネットワーク切断が頻繁に発生します。
一連の TCPDUMPS を使用して障害を分離しましたが、私のサーバーが宛先ポート 6004 から不明な IP アドレスで複数回呼び出すことがわかりました。
10:26:09.323489 IP xxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [S], seq 4085665640, win 14600, options [mss 1460,sackOK,TS val 57778507 ecr 0,nop,wscale 7], length 0
10:26:09.325540 IP 103.233.80.202.static.krypt.com.6004 > xxxxx.43725: Flags [S.], seq 1064636205, ack 4085665641, win 64240, options [mss 1400,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
10:26:09.325561 IP xxxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [.], ack 1, win 115, options [nop,nop,TS val 57778509 ecr 0], length 0
10:26:09.325855 IP xxxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [P.], seq 1:29, ack 1, win 115, options [nop,nop,TS val 57778509 ecr 0], length 28
以下は、netstatを介したこれらの接続の1つの出力例です。
tcp 0 0 XX.XX.XX.XX:43730 103.233.80.202:6004 ESTABLISHED 1218/netstat -an
接続は私のサーバーからポート6004のタイのIPアドレスに入っているようです。
私はこれをrootとして実行されるプロセスとして追跡しました。
root 1218 1 60 10:11 ? 00:14:49 netstat -an
iptablesでそのIPアドレスをブロックしてみましたが、これは一時的な回避策です。 (および関連プロセス)しかし、数時間以内に問題が再発することがわかりました。私は現在サーバーを停止していますが、ここで続行する方法がわかりません。 (完全再インストールを中止)
サーバーで何かを追跡するために何ができるかについてのアイデアはありますか?
答え1
あなたのシステムがボットによって破損しているようです。あなたの説明で判断すると、ChinaZ.DDOS 亜種である可能性が高くなります。
これらのボットネットは通常、脆弱なサーバーをスキャンして攻撃し、マルウェアをインストールします。
ファイアウォールやルーターがあまりにも多くの接続を受信し、一部のテーブルが使い果たされているか、DDoS緩和構成があるため一時的にブロックされているため、接続が切断される可能性があることに感謝します。
サーバーを破損していると見なして再インストールします。
保護されたネットワークで実行して動作を調査し、セキュリティの詳細を知る機会を活用できます。
マルウェア検出および/またはウイルス対策ソフトウェアをダウンロードして実行して、お持ちのソフトウェアの名前を見つけたことを確認してください。システムコール、アクセスされたファイル、ネットワーク、およびさまざまなシステムアクティビティを追跡するには、sysdigまたはdtrace4linuxを使用します。
関連リンクを残しておきます。そうでないかもしれませんし、さらに調査することでそうでない場合があります。
http://blog.malwaremustdie.org/2014/11/china-elf-botnet-malware-infection.html
関連ツールへのいくつかのリンクを残します。
Linuxマルウェア検出 https://www.rfxn.com/projects/linux-malware-Detect/
dtrace4linux https://github.com/dtrace4linux
システムマイニング http://www.sysdig.org
プログラムに関しては、私が正確に覚えている場合、そのCentOSバージョンは2年になり、1年間更新されませんでした。インターネットに接続されているすべての種類のサーバーは引き続き更新する必要があります。そうしないと、これが発生する可能性があります。同様の状況により、過去にもネットワークの中断を経験しました。