さくらでLinuxサーバーを借りています。

さくらでLinuxサーバーを借りています。

突如、外部への攻撃はあるとの連絡でじたばたしています。
iptablesの設定をみなし、外部からのアクセスを制限したりしましたが
また、さくらより連絡があり攻撃が見つかりました。
下記メールの内容を見ると、UDPの攻撃らしいですが、この攻撃を防ぐ手立てはどういったことになりますでしょうか？
対応して
/sbin/iptables -A OUTPUT -p udp -j DROP
/sbin/iptables -A FORWARD -p udp -j DROP
上記のコマンドを実行しました。これで、不都合はありますでしょうか？
DNSサーバーの運用はありません。

～～～～～～～～～～ メールの内容　～～～～～～～～～～～～～～～
大変恐れ入りますが、2010年XX月XX日にお客さまの専用サーバより
外部ネットワークに対して攻撃が再発されたことを確認いたしました。

[Fri Sep 3 18:54:12 2010]
18:53:45.000000 IP XXX.94.198.105.56883 > XXX.86.19.53.0: UDP, length 15
18:53:45.000000 IP XXX.94.198.105.56883 > XXX.86.19.53.0: UDP, length 15
18:53:45.000000 IP XXX.94.198.105.56883 > XXX.86.19.53.0: UDP, length 15
18:53:46.000000 IP XXX.94.198.105.56883 > XXX.86.19.53.0: UDP, length 15

okwakitigai 回答No.4

>iptablesの設定をみなし、外部からのアクセスを制限したりしましたが
これしかしてないの?
最低でもネットワーク経由でログインできるアカウントをすべて変更する。
rootのパスワードを変更する。

起動しているプロセスを確認する。
バックドアが仕掛けられてないがのチェック。

質問者がやったこの
>iptablesの設定をみなし、外部からのアクセスを制限したりしましたが
なんて解決策になっていない。

memphis 回答No.3

＞これで、不都合はありますでしょうか？

コマンドを実行する前に、オリジナルから書き換わっているファイル、プログラムを全て元に戻してから行わないと無意味です。
一般的にはHDDをフォーマットし、OSもインストールし直してから作業を行います。

wildcat-yp 回答No.2

えーと・・・
サーバーの運用なんてやめてしまえ！！

といわれても仕方がないくらいの恥ずかしい質問ですよ。

IT業界では、常識中の常識ですが、一度でもウイルスの感染や、不正侵入を許してしまったホストは一度フォーマットして再セットアップする必要があります。

なんでそれがわからないですか？

その外部への攻撃があなたの意志によるものでないというのであれば、もうすでにそのホストはあなたの手の中にはありません。あなたのいうことも聞きません。

今、あなたが実行している「/sbin/iptables」というコマンドが本当にあなたが実行したいバイナリと完全に同じものですか？カーネルは？そのほかロードされているモジュールは？

公共のネットワークの一部を使用するのですから、最低限のリテラシーを身に着けてからにしてください。

まあ、十中八九、どこかの大手サイトへのDDOSに加担していると思われます。一般のど素人がウイルスに感染して知らないうちにというのと、専用サーバーを設置しておそらく専門知識を持っていて、攻撃の事実を把握していたというのと同じレベルで考えているわけではないでしょう？
早急な対策が必要ですね。

SaKaKashi 回答No.1

あなたのサーバのワームやウイルスを退治してください。