※ [本文转录自 Linux 看板 #1JYOm-Eq ] 作者: dlikeayu (太阳拳vs野球拳) 看板: Linux 标题: [问题] 网站被当Dos攻击的跳台 时间: Sat May 31 16:00:52 2014 这几天收到AWS的通知 说我的EC2 Instance 去攻击别人 说我在05/30中午, 05/31早上这两天攻击别人 除了攻击别人的80port 也有攻击其它的port 我查了几个log nginx/access.log nginx/error.log syslog auth.log 因为网站上有架很多网站 然後透过nginx来做虚拟伺服器 目前有以下几个疑点 1.wordpress 因为先前有传出xmlrpc的漏洞攻击 有架wordpress会被当僵屍来攻击别人 在30号时我查了跟xmlrpc.php有关的请求 log里只有在19号跟25号有请求过 请求数也才11个 在30号时我从wordpress的设定、function code、跟nginx去阻挡一切有关 xmlrpc请求的服务 但是在31号早上时还是收到警告，说我们还在攻击别人 2.ssh 因为原本是使用Key pair来登入vps port也没改 过去在查auth.log也的确有很多的hack想要试探登入 但没有被登入的纪录(我也知道真的被登入也早被洗掉了= =) 在30号收到通知後 我去把port改掉 想说要是真的是骇入 又要有key pair又要猜port 应该没这麽容易吧？ 但31号...嗯 3.被我们攻击的伺服器ip 我去cat |grep log都没查到我们有去攻击aws所说的ip 4.magento 在30号前几天，我们测试用的PHP套件magento 我用後台做了线上更新 而不是用下载回来的package去覆盖升级 另外，此套件我们的後台帐密设的还蛮简单的(因为测试用) 5. cat xxx.log | grep ooo 我查了aws所说的攻击时间点附近的log 都没看到什麽异常 6.netstat -ntu | awk xxxxxxx 有下这指令看有什麽异常的传输 但是hack发起的时间点又不是一直持续的 所以我下这指令时，server并没有在攻击别人 也查不出个所以然... 7.利用Xss来做Dos? 最後有想到是不是这个可能 目前是想到wordpress跟magento 可能更新时被人植入後门 再透过这後门来做Dos攻击别人 另外magento要是後台被登入的话 hack也可以从後台去更改html code 以上 目前就想到这些 不知道还有哪些地方需要加强防范 或是有什麽指令方法可以更明确的查到我们到底是怎麽去攻击别人的纪录 还麻烦请教一下 -- 标题 Re: [问卦] 第一次约伊湄出门该去哪里用餐? --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.230.91.157 ※ 文章网址: http://webptt.com/cn.aspx?n=bbs/Linux/M.1401523262.A.3B4.html

※ 发信站: 批踢踢实业坊(ptt.cc) ※ 转录者: dlikeayu (61.230.91.157), 05/31/2014 16:06:09 我不是来问了吗 T_T ※ 编辑: dlikeayu (1.34.4.90), 05/31/2014 22:58:32