우분투 서비스의 취약점을 찾는 방법은 무엇입니까?

tag-icon tag-icon linux ubuntu security trojan
우분투 서비스의 취약점을 찾는 방법은 무엇입니까?

우분투 서버가 실행 중입니다. 오늘 아마존 남용 신고를 통해 서버가 해킹되어 DDoS에 사용되고 있음을 발견했습니다.

서버에서 다음과 같은 내용을 발견했습니다.

서버에 다음과 같은 의심스러운 파일이 있습니다.

-rw-r--r-- 1 www-data www-data      759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data  1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data        5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data  1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data        5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data      119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data       73 Feb  1 01:01 conf.n

다음 프로세스가 실행 중이었습니다.

www-data  8292 10629  0 Jan28 ?        00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data  8293  8292  0 Jan28 ?        00:00:00 /bin/bash -i
www-data  8293  8292  0 Jan28 ?        00:00:00 ./huizhen

실행 하고 파일 을 clamav삭제 했지만 프로세스가 여전히 실행 중이므로 수동 으로 종료했습니다./tmp/huizhen/tmp/sishenweiwei.pl./huizhen

서버에서 다음 서비스가 실행되고 있습니다.

  • SSH - 기본 포트 22를 사용하지 않고 키 인증만 사용
  • MongoDB - 특정 보안 그룹에 대해 포트가 열려 있습니다.
  • Memcache - 특정 보안 그룹에 대해 포트가 열려 있습니다.
  • NodeJS - 특정 보안 그룹에 대해 포트가 열려 있습니다.
  • Tomcat - 8080/8443 포트는 axis2 웹 서비스 및 solr에 대해 공개됩니다.

내 가정은 프로세스가 Tomcat과 동일한 사용자 그룹을 사용하여 실행되고 있기 때문에 해커가 일부 tomcat/axis2/solr 취약점을 통해 침입했다고 가정합니다.

지금은 8080/8443 포트를 차단했으며 서버를 새 서버로 교체할 예정입니다. Tomcat은 nginx를 통해 다른 서버에서 액세스할 수 있습니다. 또한 다음을 사용하여 보안 패치를 설치했습니다.무인 업그레이드.

문제는 해커가 어떻게 침입해 트로이목마를 심었는지 찾는 방법이다. 보안을 강화하기 위해 취할 수 있는 다른 조치는 무엇입니까?

답변1

이것은 상당히 합리적인 질문입니다. 엄밀히 말하면, 이에 답하는 가장 좋은 방법은 시스템을 정지하고 포렌식 테스트를 수행하는 것이었습니다. 바이러스 제거를 포함하여 나중에 귀하가 개입하면 침입자가 남긴 빵 부스러기가 변경되고 완전히 지워질 수도 있습니다.

이 경로가 더 이상 열려 있지 않다는 점을 고려하면 가장 좋은 방법은 프로그램인 Vulnerability Scanner를 사용하는 것입니다.설치 스트레스 테스트를 위해 정확하게 설계되었습니다. 매우 많은 경우가 있습니다. Google에서 용어를 검색할 수도 있지만 Vulnerability Scanner지금까지 가장 잘 알려진 것은 다음과 같습니다.네소스. 무료부터 다양한 라이센스를 갖춘 유료까지 여러 버전으로 제공되며 상당히 비쌀 수 있으며 아마도 귀하가 원하는 것보다 더 비쌀 수 있습니다.

그러나 사전 설치되어 제공되는 무료 버전도 있습니다.칼리 리눅스. 완전 무료임에도 불구하고 등록을 해야 합니다. 우리 중 많은 사람들이 Kali를 랩톱의 VM에 설치한 다음 집 밖에서 스트레스 테스트를 수행하여 어떤 결함(= 패치되지 않은, 알려진 취약점, 가장 자주)이 컴퓨터에서 실행되는 응용 프로그램에 남아 있는지 확인합니다. 인터넷 연결 서버.

인터넷 전체에서 이를 사용하는 방법을 알려주는 가이드가 있으며, 자신의 LAN(방화벽을 신뢰하는 경우) 내에서도 시도해 볼 수 있으며, Kali를 VM으로 실행하는 경우 동일한 PC 내에서도 시도해 볼 수 있습니다.

관련 정보