Originariamente inviato da allin81
Ciao a tutti
ho un problema, mi hanno staccato la connessione al mio server dedicato in quanto dicono che la mia macchina attacca le altre macchine della loro rete.
Ora dicono che mi danno un kvm per poter accedere tramite shell e controllare di che si tratta.
Qualcuno di voi ci e' passato per queste cose? cosa devo vedere?
Dai log si capisce se si tratta di un problema sui miei siti o altro?
Ciao,
direi che i log sono la prima cosa da guardare e sì, possono aiutarti molto. Comincerei dai log di sistema, soprattutto messages e syslog. Proverei ovviamente anche i log di apache o comunque del webserver alla ricerca di strane connessioni (non l'error log, l'access log). Inoltre a scanso di equivoci anche un "last" e un controllino in user-log male non fa.
Potresti anche provare, ma dandoti una kvm mi sa che non puoi farlo, a installare un tool come rkhunter e, dato che sembra tu abbia un dedicato, sicuramente un firewall proattivo; dalla mia esperienza posso consigliarti csf, che ti permette di fare tante belle cosine analizzando anche i log, non ultima ti permette di essere avvisato se qualcuno accede a una shell di sistema.

In seguito, se non ne vieni a capo, proverei a cercare se hai delle shell caricate sui siti web e se qualche utente del server è stato compromesso (accesso ftp debole, password mysql debole eccetera).

Se servono consigli o aiuti ulteriori fischia