我有一個正在運行的 ubuntu 伺服器。今天我透過亞馬遜濫用報告發現伺服器被駭客攻擊並被用於 DDoS。
我在伺服器上發現了以下內容。
伺服器上存在以下可疑文件。
-rw-r--r-- 1 www-data www-data 759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data 1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data 5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data 1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data 5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data 119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data 73 Feb 1 01:01 conf.n
以下進程正在運行
www-data 8292 10629 0 Jan28 ? 00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data 8293 8292 0 Jan28 ? 00:00:00 /bin/bash -i
www-data 8293 8292 0 Jan28 ? 00:00:00 ./huizhen
我運行clamav並刪除了/tmp/huizhen文件/tmp/sishen,但進程仍在運行weiwei.pl,./huizhen所以我手動殺死了它們。
我在伺服器上運行以下服務。
- SSH - 不使用預設連接埠 22,僅使用金鑰驗證
- MongoDB - 連接埠對特定安全群組開放
- Memcache - 連接埠對特定安全群組開放
- NodeJS - 連接埠對特定安全群組開放
- Tomcat - 8080/8443 連接埠對於 axis2 webservice 和 solr 是公共的
我的假設是駭客透過一些 tomcat/axis2/solr 漏洞進入,因為該進程使用與 tomcat 相同的使用者群組運行。
我暫時阻止了 8080/8443 端口,並將用一台新伺服器更換伺服器。可以透過 nginx 從不同的伺服器存取 Tomcat。我還使用安裝了安全性補丁無人值守升級。
問題是如何找到駭客是如何進入並植入木馬的。我還可以採取哪些措施來加強安全?
答案1
這是一個非常合理的問題。嚴格來說,回答這個問題的最佳選擇是凍結您的系統並執行取證測試。您以後的任何干預(包括清除病毒)都將改變並可能完全清除入侵者留下的任何麵包屑。
鑑於這條道路不再向您開放,最好的方法是使用漏洞掃描程序,一個程序IE專門設計用於對您的安裝進行壓力測試。有很多可能,你可能只是谷歌這個詞Vulnerability Scanner,但到目前為止最知名的是內瑟斯。它有多種版本,從免費到付費,具有不同的許可證,而且它可能會變得相當昂貴,可能超出您願意支付的價格。
但是,它還有一個免費版本,它預先安裝在卡利Linux。即使它是完全免費的,您也必須註冊它。我們中的許多人透過將Kali 安裝到筆記型電腦上的虛擬機器上來使用Kali,然後從家外執行壓力測試,以查看在電腦上運行的應用程式中留下了哪些缺陷(=未修補的、已知的漏洞,最常見)。
有指南教您如何在整個互聯網上使用它,您也可以在自己的 LAN 中嘗試它(如果您信任您的防火牆),甚至可以在同一台電腦中嘗試它,如果您將 Kali 作為虛擬機器運行。