решено ФорумAdmin

Пришла абуза на сервер. Как отреагировать?




Текст абузы:

---- Original message ----
We observed machines under your control participating in a DDoS attack
targeting Google IPs.

The attack was a UDP amplification attack. In this attack, a UDP-based
service is abused to attack others, wasting your bandwidth and computing
resources. For more information about this style of attack, see

The participating IPs under your control are listed below, along with
the port number abused, the start and stop times in UTC, and the
approximate amount of data sent during that time.

| Amplifier | Port | First Seen (UTC) | Last Seen (UTC) | Mbytes |
| | 111 | 2018-09-25 17:28 | 2018-09-25 18:30 | 467 |

Note that this is simply a misconfigured server, not an abusive customer
or a compromised machine.

To resolve this incident, please configure or firewall your server so it
does not accept UDP requests to the listed port from untrusted third


Правильно ли я понимаю, что с моего сервера, с 111 порта идет UDP трафик? Следующая команда решит проблему?

iptables -A OUTPUT -p udp --sport 111 -j DROP
Что еще сделать и вообще в чем может быть причина? Настройки не менял очень давно.

Для начала - да.
А потом надо смотреть - кто пользует этот порт.
Может там NFS висит. Или ещё какая приблуда.
Как найдёшь - смотри конфиги. И лог.

Gintoki ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.