Aruba mi scrive dicendomi che dal mio server dedicato è partito un attacco dos verso un certo ip.
Io non credo a questa affermazione, o al massimo il mio s.d. può aver ricevuto pacchetti spoofati così che le risposte fossero mandate all'obiettivo dell'attacco dos.
Aruba aggiunge che i server compromessi che creano casini verranno staccati dalla rete.
Ecco la situazione: distro centos sempre aggiornata, il minimo indispensabile, http, https, php mysql, smtp, pop3 su porta non standard, ssh su porta non standard, sftp su porta non standard. Soprattutto mai usata nessuna applicazione php distribuita open o non open, tipo pannelli di gestione del server, cms ecc. Tutto il php presente è autoprodotto con notevole attenzione alla sicurezza.
Controlli malware e rootkit non danno nessun risultato, nessuna traccia di attività sospetta, accessi non giustificati, traffico sconosciuto, file sconosciuti ecc.
Ai miei ripetuti controlli nessun traffico anomalo in entrata e uscita, nulla verso l'ip presunto attaccato, nessun processo strano, nessuna porta in ascolto strana.
Mrtg per la data e ora del dos segnalato da Aruba rileva solo un modesto aumento del traffico in entrata (non in uscita).
Non ho avuto altre segnalazioni da Aruba e non ho trovato alcun traffico anomalo neanche in Mrtg.
Cosa ne pensate?
Io non credo a questa affermazione, o al massimo il mio s.d. può aver ricevuto pacchetti spoofati così che le risposte fossero mandate all'obiettivo dell'attacco dos.
Aruba aggiunge che i server compromessi che creano casini verranno staccati dalla rete.
Ecco la situazione: distro centos sempre aggiornata, il minimo indispensabile, http, https, php mysql, smtp, pop3 su porta non standard, ssh su porta non standard, sftp su porta non standard. Soprattutto mai usata nessuna applicazione php distribuita open o non open, tipo pannelli di gestione del server, cms ecc. Tutto il php presente è autoprodotto con notevole attenzione alla sicurezza.
Controlli malware e rootkit non danno nessun risultato, nessuna traccia di attività sospetta, accessi non giustificati, traffico sconosciuto, file sconosciuti ecc.
Ai miei ripetuti controlli nessun traffico anomalo in entrata e uscita, nulla verso l'ip presunto attaccato, nessun processo strano, nessuna porta in ascolto strana.
Mrtg per la data e ora del dos segnalato da Aruba rileva solo un modesto aumento del traffico in entrata (non in uscita).
Non ho avuto altre segnalazioni da Aruba e non ho trovato alcun traffico anomalo neanche in Mrtg.
Cosa ne pensate?
