Tengo un servidor ubuntu ejecutándose. Hoy descubrí que el servidor fue pirateado y se está utilizando para DDoS a través del informe de abuso de Amazon.
Encontré las siguientes cosas en el servidor.
Los siguientes archivos sospechosos estaban en el servidor.
-rw-r--r-- 1 www-data www-data 759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data 1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data 5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data 1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data 5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data 119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data 73 Feb 1 01:01 conf.n
Se estaba ejecutando el siguiente proceso
www-data 8292 10629 0 Jan28 ? 00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data 8293 8292 0 Jan28 ? 00:00:00 /bin/bash -i
www-data 8293 8292 0 Jan28 ? 00:00:00 ./huizhen
Lo ejecuté clamavy eliminé /tmp/huizhenarchivos /tmp/sishen, pero los procesos aún se estaban ejecutando weiwei.pl, ./huizhenpor lo que los eliminé manualmente.
Tengo los siguientes servicios ejecutándose en el servidor.
- SSH: no se utiliza el puerto predeterminado 22, solo autenticación de clave
- MongoDB: el puerto está abierto para un grupo de seguridad específico
- Memcache: el puerto está abierto para un grupo de seguridad específico
- NodeJS: el puerto está abierto para un grupo de seguridad específico
- Tomcat: los puertos 8080/8443 son públicos para el servicio web y solr de axis2
Mi suposición es que el hacker entró a través de alguna vulnerabilidad de Tomcat/axis2/solr porque el proceso se ejecuta utilizando el mismo grupo de usuarios que Tomcat.
He bloqueado los puertos 8080/8443 por ahora y reemplazaré el servidor por uno nuevo. Se podrá acceder a Tomcat desde un servidor diferente a través de nginx. También instalé parches de seguridad usandoactualizaciones desatendidas.
El problema es cómo descubrir cómo entró el hacker y colocó los troyanos. ¿Qué otras medidas puedo tomar para reforzar la seguridad?
Respuesta1
Ésta es una pregunta bastante razonable. Estrictamente hablando, su mejor opción para responder habría sido congelar su sistema y realizar pruebas forenses. Cualquier intervención posterior de su parte, incluida la eliminación de virus, alterará y posiblemente borrará por completo cualquier migaja de pan dejada por el intruso.
Dado que este camino ya no está abierto para usted, lo mejor es utilizar un Vulnerability Scanner, un programaes decirdiseñado exactamente para someter a prueba su instalación. Hay muchos, puedes simplemente buscar el término en Google Vulnerability Scanner, pero con diferencia el más conocido esNeso. Viene en varias versiones, desde gratuita hasta de pago con diferentes licencias, y puede resultar bastante caro, posiblemente más de lo que estás dispuesto a desembolsar.
Sin embargo, también existe una versión gratuita, que viene preinstalada enKaliLinux. Tendrás que registrarlo, aunque es completamente gratuito. Muchos de nosotros usamos Kali instalándolo en una máquina virtual en una computadora portátil y luego realizando las pruebas de estrés desde fuera de nuestros hogares, para ver qué defectos (= vulnerabilidades conocidas y sin parches, en la mayoría de los casos) quedan en las aplicaciones que se ejecutan en un Servidor con acceso a Internet.
Hay guías que le enseñan cómo usarlo en Internet, y puede probarlo también dentro de su propia LAN (si confía en su firewall), e incluso desde la misma computadora, si va a ejecutar Kali como máquina virtual.