※ 本文為 dinos 轉寄自 ptt.cc 更新時間: 2014-06-01 06:54:44
看板 Web_Design
作者 標題 Fw: [問題] 網站被當Dos攻擊的跳台
時間 Sun Jun 1 02:17:45 2014
※ [本文轉錄自 Linux 看板 #1JYOm-Eq ]
看板 Linux
作者 標題 [問題] 網站被當Dos攻擊的跳台
時間 Sat May 31 16:00:52 2014
這幾天收到AWS的通知
說我的EC2 Instance 去攻擊別人
說我在05/30中午, 05/31早上這兩天攻擊別人
除了攻擊別人的80port 也有攻擊其它的port
我查了幾個log
nginx/access.log
nginx/error.log
syslog
auth.log
因為網站上有架很多網站
然後透過nginx來做虛擬伺服器
目前有以下幾個疑點
1.wordpress
因為先前有傳出xmlrpc的漏洞攻擊
有架wordpress會被當僵屍來攻擊別人
在30號時我查了跟xmlrpc.php有關的請求
log裏只有在19號跟25號有請求過
請求數也才11個
在30號時我從wordpress的設定、function code、跟nginx去阻擋一切有關
xmlrpc請求的服務
但是在31號早上時還是收到警告,說我們還在攻擊別人
2.ssh
因為原本是使用Key pair來登入vps
port也沒改
過去在查auth.log也的確有很多的hack想要試探登入
但沒有被登入的紀錄(我也知道真的被登入也早被洗掉了= =)
在30號收到通知後
我去把port改掉
想說要是真的是駭入
又要有key pair又要猜port
應該沒這麼容易吧?
但31號...嗯
3.被我們攻擊的伺服器ip
我去cat |grep log都沒查到我們有去攻擊aws所說的ip
4.magento
在30號前幾天,我們測試用的PHP套件magento
我用後台做了線上更新
而不是用下載回來的package去覆蓋升級
另外,此套件我們的後台帳密設的還蠻簡單的(因為測試用)
5. cat xxx.log | grep ooo
我查了aws所說的攻擊時間點附近的log
都沒看到什麼異常
6.netstat -ntu | awk xxxxxxx
有下這指令看有什麼異常的傳輸
但是hack發起的時間點又不是一直持續的
所以我下這指令時,server並沒有在攻擊別人
也查不出個所以然...
7.利用Xss來做Dos?
最後有想到是不是這個可能
目前是想到wordpress跟magento
可能更新時被人植入後門
再透過這後門來做Dos攻擊別人
另外magento要是後台被登入的話
hack也可以從後台去更改html code
以上
目前就想到這些
不知道還有哪些地方需要加強防範
或是有什麼指令方法可以更明確的查到我們到底是怎麼去攻擊別人的紀錄
還麻煩請教一下
--
標題 Re: [問卦] 第一次約伊湄出門該去哪裡用餐?
推 :我比較想上任立渝 我倒是還沒玩過氣象主播01/18 01:51
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.91.157
※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1401523262.A.3B4.html
※ dlikeayu:轉錄至看板 MIS 05/31 16:06
然後哪個IP哪個Port被我們攻擊
其它像把我們當白痴一樣也沒提細節
實在是很難找...
所以只有可能是被XSS或是更新套件時才被植入
主要還是希望有更多細節
或是高高手提供方法讓小弟去找出細節來...
※ 編輯: dlikeayu (1.34.4.90), 05/31/2014 22:52:58
所以真要進來也只有port 80了
ssh authorized_keys也確認只有我的pub key
使用者沒開密碼
嗯,這台server incoming只有開 ssh跟80
nginx 我的版本是1.6.0
目前看來是沒在名單內
heartbleed的話,剛看是沒開啟ssl服務
這下又頭痛了,不過還是感謝你幫忙過瀘掉一些可能性:D
這邊偷自介一下
因為小弟只是個程式設計師
system engineer的知識有限
還請多多指教...
※ 編輯: dlikeayu (1.34.4.90), 06/01/2014 02:13:43
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: dlikeayu (1.34.4.90), 06/01/2014 02:17:45
--
→ :關於第2點 其實port不用猜啊 nmap掃下就知道了www1F 05/31 18:29
→ :建議是先確定時間點吧 把相關的記錄清查過
→ :這樣才能確定是怎麼攻擊的
AWS只有寄信來說哪個時間點→ :建議是先確定時間點吧 把相關的記錄清查過
→ :這樣才能確定是怎麼攻擊的
然後哪個IP哪個Port被我們攻擊
其它像把我們當白痴一樣也沒提細節
實在是很難找...
→ :通常hacker只有植入木馬那次才需要入侵系統,植好木馬你每4F 05/31 19:01
→ :次重開機都會幫他跑攻擊服務.若確定被入侵,從源頭重灌有時
→ :是必要的.全系統備份可能都帶有木馬.你目前的狀況是無法確
→ :認(都是別人告知),既然頻率很高,守株查兔定時檢查系統是否
→ :有不明對外站連線(最好就是被告知DOS的攻擊對象)
這前提是真的被ssh登入了,但目前沒查到被例外登入就是→ :次重開機都會幫他跑攻擊服務.若確定被入侵,從源頭重灌有時
→ :是必要的.全系統備份可能都帶有木馬.你目前的狀況是無法確
→ :認(都是別人告知),既然頻率很高,守株查兔定時檢查系統是否
→ :有不明對外站連線(最好就是被告知DOS的攻擊對象)
所以只有可能是被XSS或是更新套件時才被植入
主要還是希望有更多細節
或是高高手提供方法讓小弟去找出細節來...
※ 編輯: dlikeayu (1.34.4.90), 05/31/2014 22:52:58
→ :植入木馬不一定走ssh,只要任何一個對外有開port接受連入的9F 05/31 23:03
→ :service有漏洞能讓遠端執行指令就是入侵的門戶,這個只能檢
→ :查你用的service有沒有vulnerability沒有更新或修正的
→ :例如:http://nginx.org/en/security_advisories.html
→ :service有漏洞能讓遠端執行指令就是入侵的門戶,這個只能檢
→ :查你用的service有沒有vulnerability沒有更新或修正的
→ :例如:http://nginx.org/en/security_advisories.html
→ :我剛看了一下第一個vulnerability,時間很新,程度是嚴重等13F 05/31 23:12
→ :級,又是惡名昭彰的buffer over/underflow 來做到入侵者設
→ :計的code execution,這是很可能的入侵管道,如果你沒修這個
→ :新出沒多久的漏洞,那就趕快修一下,其它的major一定要修,後
→ :面的如果advisory裏有提到code execution的也都要修.然後
→ :每個有對外服務的service (如ssh)或plug-in(如php等)都要
→ :類似處理
php因為我是用nginx再走unix socket→ :級,又是惡名昭彰的buffer over/underflow 來做到入侵者設
→ :計的code execution,這是很可能的入侵管道,如果你沒修這個
→ :新出沒多久的漏洞,那就趕快修一下,其它的major一定要修,後
→ :面的如果advisory裏有提到code execution的也都要修.然後
→ :每個有對外服務的service (如ssh)或plug-in(如php等)都要
→ :類似處理
所以真要進來也只有port 80了
ssh authorized_keys也確認只有我的pub key
使用者沒開密碼
→ :另外就是最近很紅的heartbleed,看看你的版本有沒有中標?20F 05/31 23:17
→ :從上述漏洞入侵的,log一定沒東西,log就像大門的攝影機,但
→ :小偷是挖密道進來的
→ :忘了講如果你的系統沒有隨時接收distribution的安全性更新
→ :(一般production server不會隨便更新,所以很可能沒有),更
→ :要優先考慮各項service的vulnerabilities
→ :從上述漏洞入侵的,log一定沒東西,log就像大門的攝影機,但
→ :小偷是挖密道進來的
→ :忘了講如果你的系統沒有隨時接收distribution的安全性更新
→ :(一般production server不會隨便更新,所以很可能沒有),更
→ :要優先考慮各項service的vulnerabilities
嗯,這台server incoming只有開 ssh跟80
nginx 我的版本是1.6.0
目前看來是沒在名單內
heartbleed的話,剛看是沒開啟ssl服務
這下又頭痛了,不過還是感謝你幫忙過瀘掉一些可能性:D
這邊偷自介一下
因為小弟只是個程式設計師
system engineer的知識有限
還請多多指教...
※ 編輯: dlikeayu (1.34.4.90), 06/01/2014 02:13:43
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: dlikeayu (1.34.4.90), 06/01/2014 02:17:45
推 :....慢著 沒開啟ssl服務?1F 06/01 03:12
→ :iptables -I OUTPUT 1 -s the_damn_Ip -j DROP2F 06/01 05:51
→ :直接ban掉output ip -.- 之後再慢慢找
→ :直接ban掉output ip -.- 之後再慢慢找
--
※ 看板: dinos 文章推薦值: 0 目前人氣: 0 累積人氣: 202
回列表(←)
分享