ソニー(および私のVPSホスティング)は、私のVPSによるサーバーへの攻撃を非難しました。何が起こったのかを知るにはどうすればよいですか?
昨日、私のVPSホスティングプロバイダーは、私のVPSのIPがサーバーを攻撃していると主張して、Sony Entertainmentからの乱用通知を受け取ったため、私のVPS内外のネットワークをブロックしました。
電子メールで、彼らはそれがちょうど1時間だと言いましたが、それでも...
次に、VPSプロバイダーがVPSとの間のすべてのトラフィックをブロックしたため、接続できるのはVNC KVMのみです。
私はこれらのサービスでDebian 9を実行しています:
- Virtualmin
- Roundcube
- Apache2
- PHP
- Node.js(pm2、いくつかの実行中のノードアプリ)
- 標準メールサーバー
- OpenVPNサーバー
それらのほとんどすべてがインストールされ、Virtualmin GPL。
誰かが実際にVPSを使用してDDoS攻撃(または他のボット攻撃)を実際に行ったかどうかを知る方法がわかりません。
私は何をすべきか?
Virtualminは、定義上、mod_suexecを使用して基本的なサーバーのメンテナンスを行うため、サーバーを管理するためのひどい方法です。はい、私はそれが便利なツールであることを知っていますが、それが生み出す問題が善をはるかに上回ると私を信じています。
これは悪いニュースです。サーバーが危険にさらされています。これから回復するsafe方法はありません。メール、openvpn設定をバックアップし、サーバーにキスしてください。最初からやり直したほうがよい。良いニュースは、あなたが最初からやり直していることです。メールサーバーをセットアップします。それは難しくありません。特定のIPのみにアクセスを許可するopenvpnをセットアップします。不要なすべてのApacheモジュールを無効にします。使用していないすべてのノードアプリを無効にします。不要なすべてのphpモジュールを無効にします。つまり、 最小特権の原則 を使用します。
あなたは最高の* nix管理者になることはできませんが、できるだけコマンドラインを使用してください。ここで重要な教訓を学びました。自分で簡単に物を作ることができます。悪意のある人がサーバーを制御する方が簡単です。私は個人的には常に世界に対してポート80と443のみを開いています。ポート22は常にvpnに対してのみ開いており、vpn自体はオフィスと自宅のIPアドレスにのみアクセスできます。
メールが必要な場合は、987を使用するのが適切なポートですが、それ以外は...そのマシンをロックダウンすれば、他に何も公開する必要はありません。 virtualmin/webmin/etcのようなツールは、最小限の特権の原則を使用して設定されている場合に最適ですが、最終的には本当にあなたの友達ではありません。