Si quelqu'un a téléchargé 600 Go, peut-il s'agir d'une attaque DOS

La nuit dernière, quelqu'un exploitait une vulnérabilité dans mon site, puis télécharge un script PHP dans mon dossier d'images.

J'ai un serveur Amazon EC2 avec CentOS.

Ensuite, le piratage a téléchargé 600 Go et a augmenté ma facture.

Est-ce que cela peut être une attaque DOS? Comment puis-je vérifier cela?

Quand le piratage me télécharge, j'ai vu

  • L'utilisation du processeur étant de 100%
  • Plusieurs processeurs apache kworker en cours d'exécution
  • J'ai arrêté le service apache mais les données étaient toujours transmises

J'ai alors arrêté mon cas.

Comment puis-je voir ce qui s'est passé?

Réponse partielle car votre question n'est pas claire car vous avez modifié la terminologie entre le titre et le corps et vous avez posé plusieurs questions sans points d'interrogation. Si incertain si j'avais manqué quelque chose qui devait être une question aussi

  • DDOS signifie distributed denial-of-service
  • DOS signifie denial-of-service

Ce n'était pas une attaque DDOS compte tenu de l'information fournie. Si vous avez tué un serveur Apache, vous avez effectué une attaque DOS si vous avez refusé le service de votre page Web.

Si la CPU était à 100% d'utilisation, elle pourrait probablement être définie comme une attaque DOS car il est peu probable qu'elle serve des pages durant cette période.

En ce qui concerne la découverte de ce qui s'est passé, vérifiez les journaux et les outils de surveillance que vous aviez actifs à l'heure ou contactez Amazon pour voir s'ils peuvent fournir plus de renseignements sur le trafic réseau que vous avez attiré.