作者dlikeayu (太阳拳vs野球拳)
看板Linux
标题[问题] 网站被当Dos攻击的跳台
时间Sat May 31 16:00:52 2014
这几天收到AWS的通知
说我的EC2 Instance 去攻击别人
说我在05/30中午, 05/31早上这两天攻击别人
除了攻击别人的80port 也有攻击其它的port
我查了几个log
nginx/access.log
nginx/error.log
syslog
auth.log
因为网站上有架很多网站
然後透过nginx来做虚拟伺服器
目前有以下几个疑点
1.wordpress
因为先前有传出xmlrpc的漏洞攻击
有架wordpress会被当僵屍来攻击别人
在30号时我查了跟xmlrpc.php有关的请求
log里只有在19号跟25号有请求过
请求数也才11个
在30号时我从wordpress的设定、function code、跟nginx去阻挡一切有关
xmlrpc请求的服务
但是在31号早上时还是收到警告,说我们还在攻击别人
2.ssh
因为原本是使用Key pair来登入vps
port也没改
过去在查auth.log也的确有很多的hack想要试探登入
但没有被登入的纪录(我也知道真的被登入也早被洗掉了= =)
在30号收到通知後
我去把port改掉
想说要是真的是骇入
又要有key pair又要猜port
应该没这麽容易吧?
但31号...嗯
3.被我们攻击的伺服器ip
我去cat |grep log都没查到我们有去攻击aws所说的ip
4.magento
在30号前几天,我们测试用的PHP套件magento
我用後台做了线上更新
而不是用下载回来的package去覆盖升级
另外,此套件我们的後台帐密设的还蛮简单的(因为测试用)
5. cat xxx.log | grep ooo
我查了aws所说的攻击时间点附近的log
都没看到什麽异常
6.netstat -ntu | awk xxxxxxx
有下这指令看有什麽异常的传输
但是hack发起的时间点又不是一直持续的
所以我下这指令时,server并没有在攻击别人
也查不出个所以然...
7.利用Xss来做Dos?
最後有想到是不是这个可能
目前是想到wordpress跟magento
可能更新时被人植入後门
再透过这後门来做Dos攻击别人
另外magento要是後台被登入的话
hack也可以从後台去更改html code
以上
目前就想到这些
不知道还有哪些地方需要加强防范
或是有什麽指令方法可以更明确的查到我们到底是怎麽去攻击别人的纪录
还麻烦请教一下
--
标题 Re: [问卦] 第一次约伊湄出门该去哪里用餐?
1F:推 xyz4594:我比较想上任立渝 我倒是还没玩过气象主播01/18 01:51
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.230.91.157
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/Linux/M.1401523262.A.3B4.html
※ dlikeayu:转录至看板 MIS 05/31 16:06
2F:→ dododavid006:关於第2点 其实port不用猜啊 nmap扫下就知道了www 05/31 18:29
3F:→ dododavid006:建议是先确定时间点吧 把相关的记录清查过 05/31 18:31
4F:→ dododavid006:这样才能确定是怎麽攻击的 05/31 18:32
AWS只有寄信来说哪个时间点
然後哪个IP哪个Port被我们攻击
其它像把我们当白痴一样也没提细节
实在是很难找...
5F:→ bitlife:通常hacker只有植入木马那次才需要入侵系统,植好木马你每 05/31 19:01
6F:→ bitlife:次重开机都会帮他跑攻击服务.若确定被入侵,从源头重灌有时 05/31 19:02
7F:→ bitlife:是必要的.全系统备份可能都带有木马.你目前的状况是无法确 05/31 19:03
8F:→ bitlife:认(都是别人告知),既然频率很高,守株查兔定时检查系统是否 05/31 19:04
9F:→ bitlife:有不明对外站连线(最好就是被告知DOS的攻击对象) 05/31 19:05
这前提是真的被ssh登入了,但目前没查到被例外登入就是
所以只有可能是被XSS或是更新套件时才被植入
主要还是希望有更多细节
或是高高手提供方法让小弟去找出细节来...
※ 编辑: dlikeayu (1.34.4.90), 05/31/2014 22:52:58
10F:→ bitlife:植入木马不一定走ssh,只要任何一个对外有开port接受连入的 05/31 23:03
11F:→ bitlife:service有漏洞能让远端执行指令就是入侵的门户,这个只能检 05/31 23:05
12F:→ bitlife:查你用的service有没有vulnerability没有更新或修正的 05/31 23:06
14F:→ bitlife:我刚看了一下第一个vulnerability,时间很新,程度是严重等 05/31 23:12
15F:→ bitlife:级,又是恶名昭彰的buffer over/underflow 来做到入侵者设 05/31 23:13
16F:→ bitlife:计的code execution,这是很可能的入侵管道,如果你没修这个 05/31 23:14
17F:→ bitlife:新出没多久的漏洞,那就赶快修一下,其它的major一定要修,後 05/31 23:15
18F:→ bitlife:面的如果advisory里有提到code execution的也都要修.然後 05/31 23:15
19F:→ bitlife:每个有对外服务的service (如ssh)或plug-in(如php等)都要 05/31 23:16
20F:→ bitlife:类似处理 05/31 23:16
php因为我是用nginx再走unix socket
所以真要进来也只有port 80了
ssh authorized_keys也确认只有我的pub key
使用者没开密码
21F:→ bitlife:另外就是最近很红的heartbleed,看看你的版本有没有中标? 05/31 23:17
22F:→ bitlife:从上述漏洞入侵的,log一定没东西,log就像大门的摄影机,但 05/31 23:20
23F:→ bitlife:小偷是挖密道进来的 05/31 23:20
24F:→ bitlife:忘了讲如果你的系统没有随时接收distribution的安全性更新 05/31 23:31
25F:→ bitlife:(一般production server不会随便更新,所以很可能没有),更 05/31 23:31
26F:→ bitlife:要优先考虑各项service的vulnerabilities 05/31 23:31
嗯,这台server incoming只有开 ssh跟80
nginx 我的版本是1.6.0
目前看来是没在名单内
heartbleed的话,刚看是没开启ssl服务
这下又头痛了,不过还是感谢你帮忙过泸掉一些可能性:D
这边偷自介一下
因为小弟只是个程式设计师
system engineer的知识有限
还请多多指教...
※ 编辑: dlikeayu (1.34.4.90), 06/01/2014 02:13:43
※ dlikeayu:转录至看板 Web_Design 06/01 02:17
27F:→ danny8376:其实你可以问问AWS有没有详细点资讯就是 06/01 03:40
28F:→ bitlife:你有ssh,但没开ssl?你要先确定你的ssh不是用openssl或者 06/01 09:46
29F:→ bitlife:版本不在中枪的那些版本. 06/01 09:46
30F:→ bitlife:ssl的後续称为TLS,只是library延用ssl旧名 06/01 09:46
31F:→ bitlife:自问自补:刚才查了一下ubuntu 12.04的ssh的dependency,发 06/01 09:53
32F:→ bitlife:现它和openssl都是依赖libssl,所以看来ssh在linux的实作是 06/01 09:54
33F:推 bitlife:直接依赖更底层的libssl,建议原po检查你系统的ssh依赖关系 06/01 09:58
34F:→ bitlife:heartbleed出包的是openssl而非libssl,所以在前述相依状况 06/01 09:59
35F:→ bitlife:下应该未影响ssh,不过若openssl是https所依赖,若版本有问 06/01 09:59
36F:→ bitlife:题还是一定要换,因为仍然可透过heartbleed攻击得知server 06/01 10:00
37F:→ bitlife:的机密资料(当然可能包括你的key) 06/01 10:00
38F:→ bitlife:另外所有web server(nginx)的plugin或extension,只要是执 06/01 10:04
39F:→ bitlife:行动态网页会动用到的,都必须做安全漏洞检查(到套件官网查 06/01 10:04
40F:→ bitlife:是否有安全漏洞,需要更新或更版) 06/01 10:05
41F:→ danny8376:就算用openssl ssh还是没heartbleed问题... 06/01 12:46
42F:→ danny8376:SSH并没有heartbeat功能好吗 06/01 12:46
43F:→ danny8376:SSH只用了ssl中的加密函式而已 06/01 12:47
44F:→ bitlife:楼上,我不是有自问自补了吗? 06/01 13:04
45F:→ bitlife:另外会不会中heartbleed,主要是看相依性以及入侵管道,倒和 06/01 13:07
46F:→ bitlife:ssh本身功能范围不见得有关.顾名思义漏洞和後门本来就不在 06/01 13:08
47F:→ bitlife:原设计内,单纯是实作疏失所造成,不是走normal path 06/01 13:08
48F:推 Debian:SSH是用22 port吗?是的话你也太大胆了,佩服佩服。 06/01 17:44
49F:→ danny8376:heartbleed是因为heartbeat实作疏失导致 06/01 18:39
50F:→ danny8376:问题SSH根本没heartbeat这功能要从哪疏失? 06/01 18:40
51F:→ danny8376:同样1.0(含)以前的openssl也因为没heartbeat这功能 06/01 18:41
52F:→ danny8376:所以也根本完全免疫 06/01 18:41
53F:→ bitlife:我说了要看相依性和入侵路径,所以目前linux以相依性看,ssh 06/01 19:13
54F:→ bitlife:没依赖openssl,就算有相依,还要看入侵路径(这个要看source 06/01 19:14
55F:→ bitlife:code,不过既然没相依就不需要看,而且不是专业者也看没有) 06/01 19:14
56F:→ bitlife:有相依性代表有叫用某library的部分功能,当叫用的这部分功 06/01 19:15
57F:→ bitlife:能有漏洞,叫用者就会受影响,即使受影响也要看这漏洞是否能 06/01 19:16
58F:→ bitlife:被外部骇客运用.这都不是一般人能分析的,最好的方法就是一 06/01 19:16
59F:→ bitlife:但有相依性就修正或更新才是上策.另外我前面有提,ssh没用 06/01 19:17
60F:→ bitlife:到openssl,但https大概都会用到,所以只要有网站用https网 06/01 19:17
61F:→ bitlife:址,就要检查openssl版本 06/01 19:18
63F:→ bitlife:单明了,然後我更正我最面的话,ssh确实没架在ssl之上,它们 06/01 19:34
64F:→ bitlife:只是共用加解密功能(所以万一漏洞出在这部分的程式,就可能 06/01 19:35
65F:→ bitlife:受影响,不过这次的heartbleed出问题的部分,没有被openssh 06/01 19:35
66F:→ bitlife:叫用,至於我Ubuntu上的ssh,是连openssl都没相依) 06/01 19:36
67F:推 drkkimo:第7点的话,那应该是DDos, 对方看到的不会是你的server ip 06/02 10:10
68F:→ drkkimo:吧 06/02 10:10
69F:→ drkkimo:你不应该只查server ,看看你有哪些process在run 吧 06/02 10:13
70F:推 chang0206:看PROCESS通成可以看出一些端倪 可是那也要有经验 06/04 11:14
71F:→ chang0206:真的都找不出来的话 资料备份 准备重做吧... 06/04 11:15