LINUX.ORG.RU
ФорумAdmin

rootkit или петля?

 , , , ,


0

2

Предыстория:

Понадобилось переехать с одного сервера (А) на другой (Б), синхронизировал все что нужно, перенастроил и включил переадресацию с сервера А на сервер Б

redir --lport=443 --caddr=<SERVER_B_IP> --cport=443
redir --lport=80 --caddr=<SERVER_B_IP> --cport=80

тем временем хотел начать перенастраивать DNS зоны, но не тут-то было! Сервер Б перестает отвечать: сессия ssh повисла, на ping не отвечает, по http ответов нет. На сервере А убил процессы redir, и сервер Б очухался. Я удивился. Повторил эксперимент и проблема повторилась, спустя пару минут сервер Б перестает отвечать по сети. Load average предельно низкий, дело не в нем. Запросил KVM доступ к серверу Б и увидел, что в момент отрубания от сети сеть на самом деле пропадает на сервере. Написал в ТП, на что они мне ответили:

Из-за большого количества широковещательного трафика на ваш сервер на нашем коммутаторе срабатывает storm control и сетевой порт отключается.
Выключите проксирование.

сообщая также, что именно мой сервер шлет broadcast и посылают меня в tcpdump, где я вижу вот такое https://pastebin.com/tkYgRVsf

iftop показывает вообще какую-то нелепую дичь: https://ibb.co/nMHS82y и это в то время, когда на сервере не запущено никаких служб кроме ssh

при этом netstat -anpA inet не видит никаких коннектов, кроме моего ssh подключения.

Вопрос: что со мной? Меня взломали? Или в сети провайдера петля?

UPD: ОС на сервере CentOS 7, если это имеет значение

Сервер арендуется у firstdedic

★★★★★