[Abuse] Port Scan

Если вы получили уведомление о нежелательной сетевой активности с вашего VPS или выделенного сервера, это означает, что с IP-адреса услуги была зафиксирована активность, которую сторонняя система или получатель классифицировали как нарушение правил использования сети: сканирование портов, попытки подключения к множеству адресов, подозрительные запросы или иные аномальные соединения.

Для услуг без администрирования проверка и устранение причины инцидента внутри операционной системы выполняются клиентом самостоятельно. Со стороны провайдера в таких случаях осуществляется приём и обработка жалобы, уведомление клиента и, при необходимости, временное ограничение сетевой активности услуги до устранения причины.

Важно:

При получении уведомления о нарушающей активности необходимо в течение 24 часов локализовать проблему, принять первичные меры и сообщить о результатах проверки. Если активность продолжается и реакции со стороны клиента нет, услуга может быть временно ограничена в целях защиты сети и сторонних ресурсов.

СОДЕРЖАНИЕ

Что означает такое уведомление

Уведомление о нежелательной активности не всегда означает намеренное нарушение со стороны владельца сервера. На практике причиной могут быть:

  • компрометация сервера и запуск вредоносного процесса;
  • ошибочно настроенный скрипт, сервис мониторинга или сетевой инструмент;
  • запуск сканирования из контейнера, cron-задачи или пользовательской панели;
  • действия третьего лица, получившего доступ к VPS.

В уведомлении обычно указывается IP-адрес услуги, дата и время фиксации события, а также краткая классификация. Например: 198.51.100.27 — это нейтральный пример IP-адреса из документационного диапазона, используемый только для иллюстрации.

Кто отвечает за устранение проблемы

Если услуга предоставляется без администрирования, клиент самостоятельно отвечает за:

  • проверку процессов, служб, контейнеров и скриптов внутри ОС;
  • устранение причины подозрительной активности;
  • смену паролей, ключей и обновление ПО при наличии признаков компрометации;
  • обратную связь по инциденту в указанный срок.
Примечание:

Со стороны провайдера в рамках unmanaged-услуги не выполняется бесплатное расследование внутри гостевой ОС, очистка вредоносного ПО, настройка firewall, исправление конфигурации служб и восстановление доступа в систему, если иное не предусмотрено отдельно заказанной услугой администрирования.

Что нужно сделать в первые 24 часа

Рекомендуемый порядок действий:

  1. Ознакомьтесь с содержанием уведомления: дата, время, тип активности, IP-адрес услуги.
  2. Проверьте активные сетевые соединения и процессы, которые могут инициировать исходящие подключения.
  3. Остановите подозрительный сервис, контейнер, cron-задачу или процесс.
  4. Ограничьте исходящие соединения, если активность продолжается.
  5. Проверьте сервер на предмет компрометации: SSH-доступы, новые ключи, скрытые задания, изменения в systemd.
  6. Обновите программное обеспечение и смените критичные пароли/ключи при наличии признаков взлома.
  7. Сообщите о принятых мерах в ответ на уведомление в течение 24 часов.
Обратите внимание:

Если вы не успеваете провести полную проверку за 24 часа, необходимо хотя бы локализовать проблему: остановить источник активности, ограничить сеть и сообщить, что инцидент взят в работу. Полное расследование может занять больше времени, но активность должна быть прекращена в максимально короткий срок.

Проверка сервера: базовые команды

Ниже приведены базовые команды для Linux-серверов (Ubuntu / Debian / CentOS / AlmaLinux / Rocky Linux). Выполняйте их от имени пользователя с соответствующими правами.

1. Проверка сетевых соединений

ss -tpn
lsof -nP -iTCP -sTCP:ESTABLISHED
lsof -i -nP

Эти команды помогут определить, какой процесс устанавливает исходящие соединения.

2. Проверка процессов и служб

ps aux --sort=-%cpu | head -20
ps aux --sort=-%mem | head -20
systemctl list-units --type=service --state=running
systemctl list-timers --all

Обратите внимание на неизвестные службы, высокую загрузку CPU и памяти, а также незнакомые таймеры и сервисы.

3. Проверка cron-задач

crontab -l
crontab -u root -l
ls -la /etc/cron* /var/spool/cron /var/spool/cron/crontabs
grep -R "" /etc/cron* /var/spool/cron /var/spool/cron/crontabs 2>/dev/null

Подозрительные задачи в cron часто являются причиной нежелательной сетевой активности.

4. Проверка SSH-доступов

last -a | head -50
lastb -a | head -50
who
w
grep -Ei "Accepted|Failed|Invalid|authentication" /var/log/auth.log 2>/dev/null | tail -100
journalctl -u ssh -n 100 --no-pager
find /root /home -name authorized_keys -type f -print -exec cat {} \;

Если вы видите незнакомые входы, неизвестные SSH-ключи или подозрительные попытки авторизации, рекомендуется немедленно сменить пароли и удалить неавторизованные ключи.

5. Проверка Docker-контейнеров

docker ps
docker ps -a
docker images
docker stats --no-stream

Если подозрительная активность исходит из контейнера, остановите его и проверьте источник запуска.

6. Временное ограничение исходящих подключений

ufw status verbose
ufw enable
ufw default deny outgoing
ufw allow out 53
ufw allow out 80
ufw allow out 443
ufw allow out 123

Используйте ограничение исходящих соединений только в том случае, если вы понимаете, какие сервисы должны продолжать работу. Перед применением проверьте зависимые приложения, панели управления, агенты резервного копирования и обновления.

Что сообщить в ответ на уведомление

В ответе по инциденту рекомендуется указать:

  • что уведомление получено и принято в работу;
  • какие первичные меры уже приняты;
  • локализована ли активность на текущий момент;
  • нужны ли дополнительные действия с вашей стороны.
Пример краткого ответа:

Уведомление получено. На сервере начата проверка исходящей сетевой активности. Подозрительный процесс (или сервис) остановлен, доступы и системные задания дополнительно проверяются. Первичные меры по локализации инцидента приняты. По завершении проверки при необходимости направим дополнительную информацию.

Что будет, если проблему не устранить

Если нежелательная активность продолжается, а обратная связь от клиента отсутствует или меры не приняты, услуга может быть временно ограничена. Конкретные меры зависят от характера инцидента и могут включать:

  • ограничение исходящего трафика;
  • временную блокировку отдельных сетевых направлений;
  • временную приостановку работы услуги до устранения причины инцидента.

Чтобы избежать повторения подобных ситуаций, рекомендуется регулярно обновлять систему, использовать сложные пароли и SSH-ключи, отключать неиспользуемые сервисы, ограничивать доступ по firewall и следить за списком запущенных процессов и контейнеров.

Итог:

Для услуг без администрирования клиент самостоятельно устраняет причину инцидента внутри сервера. Основная задача в первые 24 часа — прекратить нежелательную активность, проверить систему и сообщить о принятых мерах.

  • 0 Пользователи считают это полезным
Помог ли вам данный ответ?

Похожие статьи

[Abuse] Spamhaus CSS

Если ваш IP-адрес попал в список Spamhaus CSS, это означает, что с вашей услуги была...

Powered by WHMCompleteSolution