※ [本文轉錄自 Linux 看板 #1JYOm-Eq ] 作者: dlikeayu (太陽拳vs野球拳) 看板: Linux 標題: [問題] 網站被當Dos攻擊的跳台 時間: Sat May 31 16:00:52 2014 這幾天收到AWS的通知 說我的EC2 Instance 去攻擊別人 說我在05/30中午, 05/31早上這兩天攻擊別人 除了攻擊別人的80port 也有攻擊其它的port 我查了幾個log nginx/access.log nginx/error.log syslog auth.log 因為網站上有架很多網站 然後透過nginx來做虛擬伺服器 目前有以下幾個疑點 1.wordpress 因為先前有傳出xmlrpc的漏洞攻擊 有架wordpress會被當僵屍來攻擊別人 在30號時我查了跟xmlrpc.php有關的請求 log裏只有在19號跟25號有請求過 請求數也才11個 在30號時我從wordpress的設定、function code、跟nginx去阻擋一切有關 xmlrpc請求的服務 但是在31號早上時還是收到警告，說我們還在攻擊別人 2.ssh 因為原本是使用Key pair來登入vps port也沒改 過去在查auth.log也的確有很多的hack想要試探登入 但沒有被登入的紀錄(我也知道真的被登入也早被洗掉了= =) 在30號收到通知後 我去把port改掉 想說要是真的是駭入 又要有key pair又要猜port 應該沒這麼容易吧？ 但31號...嗯 3.被我們攻擊的伺服器ip 我去cat |grep log都沒查到我們有去攻擊aws所說的ip 4.magento 在30號前幾天，我們測試用的PHP套件magento 我用後台做了線上更新 而不是用下載回來的package去覆蓋升級 另外，此套件我們的後台帳密設的還蠻簡單的(因為測試用) 5. cat xxx.log | grep ooo 我查了aws所說的攻擊時間點附近的log 都沒看到什麼異常 6.netstat -ntu | awk xxxxxxx 有下這指令看有什麼異常的傳輸 但是hack發起的時間點又不是一直持續的 所以我下這指令時，server並沒有在攻擊別人 也查不出個所以然... 7.利用Xss來做Dos? 最後有想到是不是這個可能 目前是想到wordpress跟magento 可能更新時被人植入後門 再透過這後門來做Dos攻擊別人 另外magento要是後台被登入的話 hack也可以從後台去更改html code 以上 目前就想到這些 不知道還有哪些地方需要加強防範 或是有什麼指令方法可以更明確的查到我們到底是怎麼去攻擊別人的紀錄 還麻煩請教一下 -- 標題 Re: [問卦] 第一次約伊湄出門該去哪裡用餐? --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.91.157 ※ 文章網址: http://webptt.com/m.aspx?n=bbs/Linux/M.1401523262.A.3B4.html

※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: dlikeayu (61.230.91.157), 05/31/2014 16:06:09 我不是來問了嗎 T_T ※ 編輯: dlikeayu (1.34.4.90), 05/31/2014 22:58:32