看板 Web_Design作者 dlikeayu (太陽拳vs野球拳)標題 Fw: [問題] 網站被當Dos攻擊的跳台時間 Sun Jun 1 02:17:45 2014
※ [本文轉錄自 Linux 看板 #1JYOm-Eq ]
看板 Linux作者 dlikeayu (太陽拳vs野球拳)標題 [問題] 網站被當Dos攻擊的跳台時間 Sat May 31 16:00:52 2014
這幾天收到AWS的通知
說我的EC2 Instance 去攻擊別人
說我在05/30中午, 05/31早上這兩天攻擊別人
除了攻擊別人的80port 也有攻擊其它的port
我查了幾個log
nginx/access.log
nginx/error.log
syslog
auth.log
因為網站上有架很多網站
然後透過nginx來做虛擬伺服器
目前有以下幾個疑點
1.wordpress
因為先前有傳出xmlrpc的漏洞攻擊
有架wordpress會被當僵屍來攻擊別人
在30號時我查了跟xmlrpc.php有關的請求
log裏只有在19號跟25號有請求過
請求數也才11個
在30號時我從wordpress的設定、function code、跟nginx去阻擋一切有關
xmlrpc請求的服務
但是在31號早上時還是收到警告,說我們還在攻擊別人
2.ssh
因為原本是使用Key pair來登入vps
port也沒改
過去在查auth.log也的確有很多的hack想要試探登入
但沒有被登入的紀錄(我也知道真的被登入也早被洗掉了= =)
在30號收到通知後
我去把port改掉
想說要是真的是駭入
又要有key pair又要猜port
應該沒這麼容易吧?
但31號...嗯
3.被我們攻擊的伺服器ip
我去cat |grep log都沒查到我們有去攻擊aws所說的ip
4.magento
在30號前幾天,我們測試用的PHP套件magento
我用後台做了線上更新
而不是用下載回來的package去覆蓋升級
另外,此套件我們的後台帳密設的還蠻簡單的(因為測試用)
5. cat xxx.log | grep ooo
我查了aws所說的攻擊時間點附近的log
都沒看到什麼異常
6.netstat -ntu | awk xxxxxxx
有下這指令看有什麼異常的傳輸
但是hack發起的時間點又不是一直持續的
所以我下這指令時,server並沒有在攻擊別人
也查不出個所以然...
7.利用Xss來做Dos?
最後有想到是不是這個可能
目前是想到wordpress跟magento
可能更新時被人植入後門
再透過這後門來做Dos攻擊別人
另外magento要是後台被登入的話
hack也可以從後台去更改html code
以上
目前就想到這些
不知道還有哪些地方需要加強防範
或是有什麼指令方法可以更明確的查到我們到底是怎麼去攻擊別人的紀錄
還麻煩請教一下
--
標題 Re: [問卦] 第一次約伊湄出門該去哪裡用餐?
推 xyz4594:我比較想上任立渝 我倒是還沒玩過氣象主播01/18 01:51
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.91.157
※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1401523262.A.3B4.html
※ dlikeayu:轉錄至看板 MIS 05/31 16:06
→ dododavid006:關於第2點 其實port不用猜啊 nmap掃下就知道了www
建議是先確定時間點吧 把相關的記錄清查過
這樣才能確定是怎麼攻擊的1F 05/31 18:29
AWS只有寄信來說哪個時間點
然後哪個IP哪個Port被我們攻擊
其它像把我們當白痴一樣也沒提細節
實在是很難找...
→ bitlife:通常hacker只有植入木馬那次才需要入侵系統,植好木馬你每次重開機都會幫他跑攻擊服務.若確定被入侵,從源頭重灌有時是必要的.全系統備份可能都帶有木馬.你目前的狀況是無法確認(都是別人告知),既然頻率很高,守株查兔定時檢查系統是否有不明對外站連線(最好就是被告知DOS的攻擊對象)4F 05/31 19:01
這前提是真的被ssh登入了,但目前沒查到被例外登入就是
所以只有可能是被XSS或是更新套件時才被植入
主要還是希望有更多細節
或是高高手提供方法讓小弟去找出細節來...
※ 編輯: dlikeayu (1.34.4.90), 05/31/2014 22:52:58
→ bitlife:我剛看了一下第一個vulnerability,時間很新,程度是嚴重等級,又是惡名昭彰的buffer over/underflow 來做到入侵者設計的code execution,這是很可能的入侵管道,如果你沒修這個新出沒多久的漏洞,那就趕快修一下,其它的major一定要修,後面的如果advisory裏有提到code execution的也都要修.然後每個有對外服務的service (如ssh)或plug-in(如php等)都要類似處理13F 05/31 23:12
php因為我是用nginx再走unix socket
所以真要進來也只有port 80了
ssh authorized_keys也確認只有我的pub key
使用者沒開密碼
→ bitlife:另外就是最近很紅的heartbleed,看看你的版本有沒有中標?從上述漏洞入侵的,log一定沒東西,log就像大門的攝影機,但小偷是挖密道進來的
忘了講如果你的系統沒有隨時接收distribution的安全性更新(一般production server不會隨便更新,所以很可能沒有),更要優先考慮各項service的vulnerabilities20F 05/31 23:17
嗯,這台server incoming只有開 ssh跟80
nginx 我的版本是1.6.0
目前看來是沒在名單內
heartbleed的話,剛看是沒開啟ssl服務
這下又頭痛了,不過還是感謝你幫忙過瀘掉一些可能性:D
這邊偷自介一下
因為小弟只是個程式設計師
system engineer的知識有限
還請多多指教...
※ 編輯: dlikeayu (1.34.4.90), 06/01/2014 02:13:43
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: dlikeayu (1.34.4.90), 06/01/2014 02:17:45
→ up9cloud:iptables -I OUTPUT 1 -s the_damn_Ip -j DROP
直接ban掉output ip -.- 之後再慢慢找2F 06/01 05:51
--