Ataques DDOS de saída sendo executados do nosso servidor

2

Nós rodamos um servidor de e-mail (postfix / dovecot / centos 6.4). O hardware é baseado em um supermicro chasis com recursos IPMI.

Ele também executa uma interface web para enviar e-mails (servidor web Apache)

Recentemente, nosso DC informou que estamos enviando ataques DDOS de saída que atingiram 1,3 Gbps de acordo com o que eles disseram. Eles anulam o IP. Depois do nosso pedido, eles reativaram o IP novamente.

Agora estamos monitorando o servidor de forma regular e vendo tráfego de saída anormal a uma taxa de 2Mbps que não enviamos tantos emails) com picos de até 30mbps após cada período de 30 minutos (de acordo com os dados do New Relic Monitor)

O provedor disse que poderíamos estar executando ataques de reflexão DDOS. Os logins do servidor são seguros e o log de autenticação não diz nada anormal

Não temos nenhum servidor DNS em execução. Também o NTP está sendo executado no modo cliente e está protegido.

nettop, iptraffic, nethogs mostram tudo normal, apenas o resumo do tráfego transmitido e recebido no ifconfig diz sobre a grande quantidade de dados enviados.

Também desabilitamos o cliente NTP em nosso IPMI enquanto eu li que o supermicro IPMI é vulnerável ao reflexo do NTP DDOS.

Neste ponto, estou sem noção e buscando ajuda de especialistas aqui. Ajuda será apreciada!

    
por user38427 22.03.2014 / 15:33

1 resposta

3

Atualize seu Firmware IPMI para uma versão mais recente. Parece que não é o seu SO, mas o cartão IPMI vulnerável.

Você não nos disse qual é o modelo do IPMI / Chasis, mas na lista de produtos mais recentes do Super Micro firmwares não há versão 1.07, então tem que ser mais novo.

    
por 23.03.2014 / 08:24