Возможен DDOS, где найти? какие логи?

Question

Несколько месяцев назад сервер был атакован DDOS. (мой системный админ узнал) В данный момент администратор sys недоступен, и сервер несколько раз отключался.

Как я могу узнать, что я атакован? Какие файлы журналов?

SSH, APACHE не были доступны, но я мог пропинговать сервер. Затем я перезагружаю сервер, и все снова работает. Я думаю, что они делают короткую атаку, а затем сервер падает. Из того, что я знаю по последним нападавшим, они просто идиоты, а не настоящие «хакеры».

То, что я нашел в системном журнале, последний журнал перед тем, как сервер вышел из строя: WEBSERVERUSER - MAIL (отправлено 260 байтов, но получено состояние 0x0001)

Какие журналы, чтобы проверить больше?

Answer 1

Какие журналы для проверки зависят от того, какая ОС , какая версия , какое программное обеспечение сервера установлено и как оно настроено .

В основном веб-сервер apache (наиболее используемый) имеет журналы доступа здесь:

/var/log/httpd/access_log

и журналы ошибок здесь:

/var/log/httpd/error_log

SSH по умолчанию в журналах RHEL на

/var/log/secure

или в системный журнал

/var/log/messages

Я использовал инструмент denyhost для обнаружения и предотвращения грубых атак на SSHD.

Есть много доступных анализаторов, просто Google для IDS, но я не могу рекомендовать вас конкретно, пока вы не сообщите нам более подробную информацию, упомянутую выше.