Привет!
Предположительно через дыру в движке сайта клиента (какая-то старая джумала) залезли на серв и ддосили сайты зарубежных банков (~50MBps).
Сейчас наружу всё закрыли с помощью iptables: разрешён обмен данными только между уже установленными соединениями, сам сервер может быть инициатором соединения только для списка разрешённых айпишников.
Понятно, что избавились от последствий, а не от причин. Хочется найти и причину.
Чтобы найти причину нужно смотреть по пакетам - что и куда идёт в момент активности.
Подскажите, каким образом можно ловить исходящие пакеты?
Всё открывать заново не хочется, а tcpdump в данный момент не помогает (исходящие соединения не устанавливаются, и пакетам некуда уходить, соответственно их и нет).
В сервере одна сетевая карта.
Есть идея поднять виртуальный интерфейс сделать через него маршрут по умолчанию (на этом интерфейсе и слушать), с него перенаправлять на eth0 (реальный интерфейс с интертеном), а на eth0 резать всё лишнее. Но не понятно - реально ли такое? А если реально, то не хватает мозгов как прокидывать всё это :( Или нужно заморачиваться с ВПНами?
Или есть какие-то другие идеи?
Спасибо!
PS: на сервере Debian wheezy с последними обновлениями.