<div dir="ltr"><div>Hi,</div><div><br></div>One of our AWS machines was used in an DOS attack last night and I am looking for possible attack vectors. AWS tells me it was sending UDP port 0 traffic to a cloudflare address.<div><br></div><div>This instance had an incorrectly configured AWS security group exposing all ports.<br><div><br></div><div><div>The server in question is a Centos 7 based FreeIPA server, OpenVPN concentrator and DNS server.</div><div><br></div><div>With a brief inspection before the instance was stopped no evidence of intrusion could be detected in the obvious places and the machine is protected by standard SELinux policies.</div><div><br></div><div>On this machine Firewalld is currently configured with a single zone with masquerade enabled</div></div><div><br></div><div>firewalld config.</div><div><div>public (default, active)</div><div>  interfaces: eth0</div><div>  sources: </div><div>  services: dhcpv6-client dns http https kerberos kpasswd ldap ldaps ntp openvpn ssh</div><div>  ports: 81/tcp</div><div>  masquerade: yes</div><div>  forward-ports: </div><div>  icmp-blocks: </div><div>  rich rules: </div></div><div><br></div><div>Thanks,</div><div><br></div><div>Andrew</div><div></div></div></div>