Nós rodamos um servidor de e-mail (postfix / dovecot / centos 6.4). O hardware é baseado em um supermicro chasis com recursos IPMI.
Ele também executa uma interface web para enviar e-mails (servidor web Apache)
Recentemente, nosso DC informou que estamos enviando ataques DDOS de saída que atingiram 1,3 Gbps de acordo com o que eles disseram. Eles anulam o IP. Depois do nosso pedido, eles reativaram o IP novamente.
Agora estamos monitorando o servidor de forma regular e vendo tráfego de saída anormal a uma taxa de 2Mbps que não enviamos tantos emails) com picos de até 30mbps após cada período de 30 minutos (de acordo com os dados do New Relic Monitor)
O provedor disse que poderíamos estar executando ataques de reflexão DDOS. Os logins do servidor são seguros e o log de autenticação não diz nada anormal
Não temos nenhum servidor DNS em execução. Também o NTP está sendo executado no modo cliente e está protegido.
nettop, iptraffic, nethogs mostram tudo normal, apenas o resumo do tráfego transmitido e recebido no ifconfig diz sobre a grande quantidade de dados enviados.
Também desabilitamos o cliente NTP em nosso IPMI enquanto eu li que o supermicro IPMI é vulnerável ao reflexo do NTP DDOS.
Neste ponto, estou sem noção e buscando ajuda de especialistas aqui. Ajuda será apreciada!
Atualize seu Firmware IPMI para uma versão mais recente. Parece que não é o seu SO, mas o cartão IPMI vulnerável.
Você não nos disse qual é o modelo do IPMI / Chasis, mas na lista de produtos mais recentes do Super Micro firmwares não há versão 1.07, então tem que ser mais novo.