Скрытая угроза: как мы обнаружили и пресекли ботнет-активность

 

Что происходило

Скомпрометированный сервер начал генерировать паразитные запросы, незаметные по объёму, но способные постепенно увеличивать нагрузку на отдельные компоненты виртуализационной среды. В это же время в рамках планового обновления мы тестировали новое оборудование и внедряли дополнительные сервисы — это снизило чувствительность некоторых систем мониторинга и усложнило изначальную диагностику.

Несмотря на стечение факторов, команда оперативно среагировала и выполнила следующие шаги:

✔️ Определили источник аномальной активности — взломанный VPS;

✔️ Отключили его и уведомили клиента;

✔️ Заблокировали все внешние соединения с ботнетом;

✔️ Восстановили стабильную работу всех узлов и сервисов;

✔️ Усилили мониторинг, особенно в зонах активных внедрений и тестов;

✔️ Актуализировали внутренние политики безопасности на уровне кластеров.

Почему это важно

Такие ситуации нельзя назвать ни «сбоем», ни «атаками в лоб». Это сложные сценарии, в которых угроза маскируется под обычную активность, а её последствия проявляются не сразу. Именно поэтому мы уделяем особое внимание поведенческому мониторингу и внутренней аналитике — такие инструменты позволяют выявлять угрозы не по внешнему шуму, а по логике работы системы.

Подобные кейсы служат важным источником знаний: они позволяют не только устранить угрозу, но и сделать инфраструктуру сильнее, устойчивее и умнее. Это и есть основа нашего подхода к защите клиентов.

Результат

✅ Платформа полностью стабилизирована;

✅ Все сервисы работают в штатном режиме;

✅ Защита усилена, а процессы — уточнены с учётом инцидента;

✅ Команда — в постоянной готовности.

 
В ESTT мы не просто поддерживаем инфраструктуру — мы активно развиваем её устойчивость. И каждый нестандартный случай помогает нам становиться ещё надёжнее.

Если у вас есть вопросы по безопасности вашей инфраструктуры — мы всегда готовы проконсультировать и подобрать оптимальное решение.

Получить консультацию