어젯밤에 도스 공격을 받은 것처럼 보였던 여러 웹 호스트(모두 내부적으로 관리됨)를 실행하는 서버가 있습니다. 입력 및 출력 체인 모두에 대해 IPTABLES에서 공격 IP를 차단했습니다. 그게 문제를 해결한 것 같았고 나는 집으로 돌아갔습니다.
오늘 아침에 서버가 다시 종료되었습니다. 이번에는 netstat에서 공격 IP로 여러 개의 SYN을 보내는 것으로 보입니다. 확실히IPTABLES OUTPUT 체인에 의해 삭제되었지만 스택에 너무 많아서 실패했습니다.
서버가 공격자에게 syn을 보내는 것이 걱정됩니다. 아마도 포트 80에서 공격자 IP에 대한 새로운 아웃바운드 연결을 설정하려고 시도하는 것 같습니다. 그런데 그 이유는 무엇입니까? 이는 서버가 손상되었음을 의미합니까? 이 문제의 원인을 어떻게 찾을 수 있나요? netstat -p를 시도했지만 나가는 시도의 소유자가 httpd로 표시됩니다.
웹 디렉토리에는 몇몇 대규모 사이트가 있으므로 모든 웹 파일에서 공격자 IP를 찾으려는 시도에는 며칠이 걸릴 것입니다.
무엇을 해야 할까요?
미리 감사드립니다....
답변1
서버/가상 호스트가 손상될 수 있으며 사이트에서 추가 셸/백도어/지침을 다운로드하려고 시도할 수 있습니다. 어떤 가상 호스트가 무엇인지 알아내는 방법을 말하기는 어렵습니다.
프로덕션 서버에서 grep을 수행할 수 없는 경우 백업에서 grep을 시도할 수 있습니다. 로그와 동일합니다.
아니면 지난 24~48일 동안 수정된 파일을 살펴보세요.
httpd=Apache인 경우 netstat에서 pid를 가져온 다음 서버 상태 출력에서 일치를 시도할 수 있습니다(IP가 삭제되면 해당 서버 스레드는 wget/curl/whatever 시간이 초과될 때까지 오랫동안 실행될 수 있습니다). ).
또한 httpd 로그에서 응답 시간이 매우 긴 요청을 찾으려고 시도할 수도 있습니다(대개 웹 서버 모두 요청 시간을 기록하지 않으므로 로그 형식을 수정해야 합니다).