Identificação de ataque ao servidor

[ajsantos]

Bom dia, sou iniciante em linux e tenho um servidor cloud na locaweb para usos diversos, inclusive disponibilização de sites.

em dezembro/15 meu servidor sofreu um ataque (eu acho que DDOS) e isso fez com que ultrapassasse o limite de transferência contratado, agora a locaweb quer me cobrar um valor absurdo por ter ultrapassado limite de transferência, e eu preciso provar que não fui eu que usei e que o servidor foi atacado para tentar recorrer dessa valor.

a questão é: como posso identificar esse ataque?  já li que através dos logs é possível, mas ninguem explica como.

agradeço qualquer ajuda

[Tota]

Olá

Veja na pasta var/log

Arquivos log são em texto, você abre com um editor de textos.

Mas a locaweb tem obrigação de te fornecer o log deles nos dias em que você suspeita do ataque.

Para um ataque ddos, a locaweb teria que permitir a "passagem" do atacante pelo firewall locaweb, já que ela fornece a você um IP privativo gerenciado de dentro dos computadores da locaweb.

Tenha sempre em mente, que se houve realmente um ataque, a locaweb é co-responsável por isto, já que tem obrigação de fornecer ferramentas para que isto não aconteça.

Mas, o que o Ubuntu tem a ver com isto, se o ataque foi via IP e não (teoricamente) imvadiram o seu sistema?

[zekkerj]

A Locaweb te sinalizou que se vc provar que houve ataque eles não vão cobrar pelo tráfego? Pq sei não, hein? É possível que eles digam que você tinha que monitorar o uso do servidor...

Quanto ao ataque em si, os logs do sistema são arquivos de texto. Como se indentifica um ataque, lendo-os, linha por linha, atrás de padrões de comportamento específico.

Pra isso vc vai precisar que:
1. Todos os logs do período estejam disponíveis.
2. Vc saiba exatamente que tipo de ataque foi. Ataques ao servidor web ficam registrados, mas ataques de Ping ou DNS poison não.

A Locaweb te dá algum relatório de uso do servidor? Um argumento que você poderia usar é que eles não te protegeram do ataque, mas sem um relatório detalhado dos tipos de tráfego vc não tem como provar que houve algum.

[ajsantos]

Na verdade ainda não abri um chamado na locaweb sobre isso, mas provavelmente eles dirão se eu sou o responsável pelo servidor e que eles não se responsabilizam.

não tenho certeza do tipo de ataque, apenas que consumiu uma transferência muito alta durante um período.

o que eu vejo no log do apache são diversos acessos, nesse período, em várias paginas de ip's de outros paises

[irtigor]

Em suma, você apenas supõem que foi atacado... veja o que foi acessado, pode ser que alguém tenha feito hotlink de alguma coisa que você disponibiliza ou que alguma página sua tenha ficado popular em outro lugar (efeito Slashdot). Existem ferramentas que analisam os logs e geram gráficos/estatísticas que são mais facilmente consumidos (por ex: http://goaccess.io/). Também acho interessante rodar algo como o piwik ou google analytics, porque fica bem fácil de visualizar da onde o pessoal vem, porque e coisas do tipo.

[zekkerj]

Se vale a sugestão dos velhinhos aqui... engula essa, e se prepare pra que não aconteça de novo.
As sugestões do Irtigor vão te permitir identificar de onde vieram os acessos. Por exemplo, se vieram do exterior, de um grupo reduzido de IPs, vc pode bloquear esses IPs, ou limitar os acessos apenas a IPs do Brasil.

Outra coisa que vc pode fazer, também, é fechar seu site pra ser usado como amplificador pra ataques, desativando serviços desnecessários como DNS caching, servidores FTP, etc. Também seria interessante colocar alguns limites de conexão da mesma origem, no seu Firewall. Que, aliás, vc não disse se tem, ou se tem, como foi feito.

[ajsantos]

Pois é, o jeito vai ser levar como aprendizado..

agradeço a todos que responderam e as dicas que deram, vou resetar o servidor e começar de novo, dessa vez do jeito certo.

valeu