Meine EC2-Instanz hat verdächtige Aktivitäten gemeldet und ich habe diese E-Mail erhalten:
wurde in Aktivitäten verwickelt, die dem Scannen von Remote-Hosts im Internet auf Sicherheitslücken ähneln. Aktivitäten dieser Art sind in der AWS Acceptable Use Policy (https://aws.amazon.com/aup/). Wir haben den Originalbericht unten zu Ihrer Überprüfung beigefügt.
Bitte ergreifen Sie Maßnahmen, um die gemeldete Aktivität zu stoppen, und antworten Sie direkt auf diese E-Mail mit Einzelheiten zu den von Ihnen ergriffenen Korrekturmaßnahmen. Wenn Sie die in diesen Berichten beschriebene Aktivität nicht als missbräuchlich erachten, antworten Sie bitte auf diese E-Mail mit Einzelheiten zu Ihrem Anwendungsfall.
Wenn Ihnen diese Aktivität nichts auffällt, ist es möglich, dass Ihre Umgebung von einem externen Angreifer kompromittiert wurde oder dass Ihr Computer aufgrund einer Sicherheitslücke auf eine nicht vorgesehene Weise verwendet wird.
Ich weiß nicht, wie ich überprüfen kann, was passiert ist. Ich habe mein Root-Passwort geändert, aber ich erhalte immer noch denselben Aktivitätsbericht.
unten ist das Protokoll:
Full logs:
(time in UTC)=2020-12-08T23:59:13 (attacker's IP)=myip (IP being scanned)=91^208^184^50 (TCP port being scanned)=523
(time in UTC)=2020-12-08T23:59:21 (attacker's IP)=myip (IP being scanned)=78^128^99^30 (TCP port being scanned)=2025
(time in UTC)=2020-12-08T23:59:28 (attacker's IP)=myip (IP being scanned)=140^238^172^100 (TCP port being scanned)=841
(time in UTC)=2020-12-08T23:59:42 (attacker's IP)=myip (IP being scanned)=219^91^85^19 (TCP port being scanned)=10699
(time in UTC)=2020-12-08T23:59:54 (attacker's IP)=myip (IP being scanned)=78^128^99^30 (TCP port being scanned)=1298
(time in UTC)=2020-12-09T23:57:40 (attacker's IP)=myip (IP being scanned)=219^91^85^19 (TCP port being scanned)=313
(time in UTC)=2020-12-09T23:57:43 (attacker's IP)=myip (IP being scanned)=219^91^62^21 (TCP port being scanned)=21735
(time in UTC)=2020-12-09T23:57:43 (attacker's IP)=myip (IP being scanned)=91^203^192^19 (TCP port being scanned)=984
(time in UTC)=2020-12-09T23:57:52 (attacker's IP)=myip (IP being scanned)=185^178^44^132 (TCP port being scanned)=18263
(time in UTC)=2020-12-09T23:57:53 (attacker's IP)=myip (IP being scanned)=140^238^172^100 (TCP port being scanned)=1389
ein weiteres Protokoll:
Logs:
------------------------------------------------------------------------
Dec 9 01:01:55 kmh-wmh-003-nbg03 sshd[698]: Invalid user test from myip port 44682
Dec 9 01:01:55 kmh-wmh-003-nbg03 sshd[698]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myip
Dec 9 01:01:57 kmh-wmh-003-nbg03 sshd[698]: Failed password for invalid user test from myip port 44682 ssh2
Dec 9 01:01:57 kmh-wmh-003-nbg03 sshd[698]: Received disconnect from myip port 44682:11: Bye Bye [preauth]
Dec 9 01:01:57 kmh-wmh-003-nbg03 sshd[698]: Disconnected from myip port 44682 [preauth]
Dec 9 01:18:16 kmh-wmh-003-nbg03 sshd[2480]: Invalid user pppuser from myip port 41660
Dec 9 01:18:16 kmh-wmh-003-nbg03 sshd[2480]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myip
Dec 9 01:18:17 kmh-wmh-003-nbg03 sshd[2480]: Failed password for invalid user pppuser from myip port 41660 ssh2
Dec 9 01:18:17 kmh-wmh-003-nbg03 sshd[2480]: Received disconnect from myip port 41660:11: Bye Bye [preauth]
Dec 9 01:18:17 kmh-wmh-003-nbg03 sshd[2480]: Disconnected from myip port 41660 [preauth]
Dec 9 01:21:25 kmh-wmh-003-nbg03 sshd[2792]: Invalid user master from myip port 38852
Dec 9 01:21:25 kmh-wmh-003-nbg03 sshd[2792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myip
Da ich über meine Instanz nie eine Verbindung zu SSH herstelle, möchte ich einfach den gesamten ausgehenden SSH-Verkehr von allen Benutzern und allen Apps/Prozessen blockieren. Wie mache ich das?
Vielleicht kann ich mit iptables den gesamten ausgehenden Datenverkehr zu Port 22 blockieren, aber nicht den gesamten SSH-Datenverkehr über Port 22, richtig? Gibt es eine andere effektive Möglichkeit?
Antwort1
So einfach ist das nicht. Wenn Ihr Server kompromittiert wurde, müssen Sie die Sache untersuchen.
Blockieren Sie zunächst den gesamten eingehenden Datenverkehr, außer Ihrem Dienst (Beispiel: Ports 80 und 443). Blockieren Sie den Zugriff auf SSH von allen Quellen außer Ihrer.
Zweitens schlage ich vor, Software wie clamav, chkrootkit und rkhunter zu installieren und auszuführen. Diese Software kann Ihren Computer scannen und mehrere bekannte Exploits identifizieren.
Drittens: Schauen Sie sich alle laufenden Prozesse, Protokolle usw. an.
Viertens, wenden Sie einige Härtungstechniken auf Ihre Maschine an
Antwort2
Überprüfen Sie Ihre „Sicherheitsgruppen“. Wenn Sie eine eingehende Regel für Port 22/SSH-Dienst haben, entfernen Sie diese.
Sie verwenden nie SSH, welche Dienste führen Sie dann aus?