Eu não vejo nada suspeito no servidor (sem conexões netstat para a porta 80 remota), mas eu não sou um administrador de servidor profissional (sou um desenvolvedor de software hardcore). Por favor, não escreva comentários óbvios (contrate um profissional / empresa) - consideraremos que após a resolução deste problema. O servidor está sendo executado no Windows Server 2008 R2. Quais ferramentas devo usar para analisar essa situação?
Esta não é uma duplicata exata de vários "o que devo fazer se meu servidor for invadido", já que basicamente preciso fornecer evidências de que meu servidor está limpo.
Medidas de segurança básicas foram tomadas desde o início (firewall do Windows ativado, patches de atualização do Windows aplicados, Clamwin instalado e em execução).
Please do not write obvious comments (hire a professional person/company) - we'll consider that after this issue is resolved.
Lamento dizer que você não está gerenciando o incidente de segurança da maneira correta.
Se há um incêndio em sua casa, você está esperando que ele se extinga antes de chamar os bombeiros?
Se você não tiver ninguém na equipe que possa lidar com esse tipo de incidente, deverá obter ajuda de recursos externos que possam gerenciar a violação de segurança.
Peça ao seu ISP para produzir registros mostrando o envolvimento do seu servidor no incidente (um gráfico de tráfego suspeito, por exemplo, gerado pelos dados dos roteadores ou switches do seu ISP). Se eles puderem produzir tais evidências, seu sistema é suspeito.
Se a sua máquina estava de fato envolvida em um ataque DoS e você não iniciou essa ação por conta própria, sua máquina está quase certamente comprometida. Se o seu sistema estiver comprometido, o melhor conselho que você obterá é apagá-lo, como em Como faço para lidar com um servidor comprometido? ou qualquer uma das outras questões semelhantes a ele.
Para determinar se o seu sistema foi invadido, lembre-se de que você não pode confiar em quaisquer ferramentas instaladas no sistema, e que um bom atacante não deixará rastros óbvios (exceto tráfego possivelmente estranho, observado por um sistema externo). Se você tem alguma suspeita de que seu sistema foi comprometido, é ainda comprometido até que seja reconstruído com mídia e software limpos conhecidos.
Nossa ex-empresa de hospedagem nos forneceu um endereço IP incorreto quando recebemos um novo servidor. Eles então se voltaram e nos acusaram de spam porque o endereço IP estava em uma lista negra de spam em algum lugar na web. Depois de muito tempo desperdiçado, descobrimos que na verdade era um cliente anterior deles fez o spam desse endereço IP. Faça com que provem a você o que aconteceu, quando aconteceu, quem o denunciou, etc. AFAIK qualquer um pode reportar um endereço IP para a maioria desses sites sem muita prova
Você nunca pode ter certeza de que seu sistema não está comprometido. Você só pode implementar segurança e integridade razoáveis para o seu sistema, com base na importância do tempo de atividade, confiabilidade, integridade, etc. do sistema. Você não pode ser razoavelmente solicitado a proteger seu sistema sem o know-how.
Só porque o seu servidor não está executando um ataque DDoS agora não significa que ele não tenha sido feito antes, e certamente não significa que o seu servidor não é hackeado.
Se o DC tiver registros de tráfego mostrando seu servidor participando de um ataque, essa deve ser toda a evidência de que você precisa. Obter uma cópia dos logs pode ajudá-lo a determinar o que há de errado com seu servidor - preste atenção especial ao tempo.
Este não é um trabalho para alguém com treinamento administrativo médio . Acompanhar essas coisas pode ser difícil e requer que você use todos os truques que você conhece e muitos truques que você não conhece. Você pode estar procurando uma agulha muito pequena em um palheiro muito grande. Mesmo administradores experientes têm problemas com esse tipo de coisa.