[問題] 網站被當Dos攻擊的跳台

看板Linux作者 (太陽拳vs野球拳)時間10年前 (2014/05/31 16:01), 10年前編輯推噓4(4066)
留言70則, 6人參與, 最新討論串1/1
這幾天收到AWS的通知 說我的EC2 Instance 去攻擊別人 說我在05/30中午, 05/31早上這兩天攻擊別人 除了攻擊別人的80port 也有攻擊其它的port 我查了幾個log nginx/access.log nginx/error.log syslog auth.log 因為網站上有架很多網站 然後透過nginx來做虛擬伺服器 目前有以下幾個疑點 1.wordpress 因為先前有傳出xmlrpc的漏洞攻擊 有架wordpress會被當僵屍來攻擊別人 在30號時我查了跟xmlrpc.php有關的請求 log裏只有在19號跟25號有請求過 請求數也才11個 在30號時我從wordpress的設定、function code、跟nginx去阻擋一切有關 xmlrpc請求的服務 但是在31號早上時還是收到警告,說我們還在攻擊別人 2.ssh 因為原本是使用Key pair來登入vps port也沒改 過去在查auth.log也的確有很多的hack想要試探登入 但沒有被登入的紀錄(我也知道真的被登入也早被洗掉了= =) 在30號收到通知後 我去把port改掉 想說要是真的是駭入 又要有key pair又要猜port 應該沒這麼容易吧? 但31號...嗯 3.被我們攻擊的伺服器ip 我去cat |grep log都沒查到我們有去攻擊aws所說的ip 4.magento 在30號前幾天,我們測試用的PHP套件magento 我用後台做了線上更新 而不是用下載回來的package去覆蓋升級 另外,此套件我們的後台帳密設的還蠻簡單的(因為測試用) 5. cat xxx.log | grep ooo 我查了aws所說的攻擊時間點附近的log 都沒看到什麼異常 6.netstat -ntu | awk xxxxxxx 有下這指令看有什麼異常的傳輸 但是hack發起的時間點又不是一直持續的 所以我下這指令時,server並沒有在攻擊別人 也查不出個所以然... 7.利用Xss來做Dos? 最後有想到是不是這個可能 目前是想到wordpress跟magento 可能更新時被人植入後門 再透過這後門來做Dos攻擊別人 另外magento要是後台被登入的話 hack也可以從後台去更改html code 以上 目前就想到這些 不知道還有哪些地方需要加強防範 或是有什麼指令方法可以更明確的查到我們到底是怎麼去攻擊別人的紀錄 還麻煩請教一下 -- 標題 Re: [問卦] 第一次約伊湄出門該去哪裡用餐?
01/18 01:51,
我比較想上任立渝 我倒是還沒玩過氣象主播
01/18 01:51
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.91.157 ※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1401523262.A.3B4.htmldlikeayu:轉錄至看板 MIS 05/31 16:06
05/31 18:29, , 1F
關於第2點 其實port不用猜啊 nmap掃下就知道了www
05/31 18:29, 1F
05/31 18:31, , 2F
建議是先確定時間點吧 把相關的記錄清查過
05/31 18:31, 2F
05/31 18:32, , 3F
這樣才能確定是怎麼攻擊的
05/31 18:32, 3F
AWS只有寄信來說哪個時間點 然後哪個IP哪個Port被我們攻擊 其它像把我們當白痴一樣也沒提細節 實在是很難找...
05/31 19:01, , 4F
通常hacker只有植入木馬那次才需要入侵系統,植好木馬你每
05/31 19:01, 4F
05/31 19:02, , 5F
次重開機都會幫他跑攻擊服務.若確定被入侵,從源頭重灌有時
05/31 19:02, 5F
05/31 19:03, , 6F
是必要的.全系統備份可能都帶有木馬.你目前的狀況是無法確
05/31 19:03, 6F
05/31 19:04, , 7F
認(都是別人告知),既然頻率很高,守株查兔定時檢查系統是否
05/31 19:04, 7F
05/31 19:05, , 8F
有不明對外站連線(最好就是被告知DOS的攻擊對象)
05/31 19:05, 8F
這前提是真的被ssh登入了,但目前沒查到被例外登入就是 所以只有可能是被XSS或是更新套件時才被植入 主要還是希望有更多細節 或是高高手提供方法讓小弟去找出細節來... ※ 編輯: dlikeayu (1.34.4.90), 05/31/2014 22:52:58
05/31 23:03, , 9F
植入木馬不一定走ssh,只要任何一個對外有開port接受連入的
05/31 23:03, 9F
05/31 23:05, , 10F
service有漏洞能讓遠端執行指令就是入侵的門戶,這個只能檢
05/31 23:05, 10F
05/31 23:06, , 11F
查你用的service有沒有vulnerability沒有更新或修正的
05/31 23:06, 11F
05/31 23:07, , 12F
05/31 23:07, 12F
05/31 23:12, , 13F
我剛看了一下第一個vulnerability,時間很新,程度是嚴重等
05/31 23:12, 13F
05/31 23:13, , 14F
級,又是惡名昭彰的buffer over/underflow 來做到入侵者設
05/31 23:13, 14F
05/31 23:14, , 15F
計的code execution,這是很可能的入侵管道,如果你沒修這個
05/31 23:14, 15F
05/31 23:15, , 16F
新出沒多久的漏洞,那就趕快修一下,其它的major一定要修,後
05/31 23:15, 16F
05/31 23:15, , 17F
面的如果advisory裏有提到code execution的也都要修.然後
05/31 23:15, 17F
05/31 23:16, , 18F
每個有對外服務的service (如ssh)或plug-in(如php等)都要
05/31 23:16, 18F
05/31 23:16, , 19F
類似處理
05/31 23:16, 19F
php因為我是用nginx再走unix socket 所以真要進來也只有port 80了 ssh authorized_keys也確認只有我的pub key 使用者沒開密碼
05/31 23:17, , 20F
另外就是最近很紅的heartbleed,看看你的版本有沒有中標?
05/31 23:17, 20F
05/31 23:20, , 21F
從上述漏洞入侵的,log一定沒東西,log就像大門的攝影機,但
05/31 23:20, 21F
05/31 23:20, , 22F
小偷是挖密道進來的
05/31 23:20, 22F
05/31 23:31, , 23F
忘了講如果你的系統沒有隨時接收distribution的安全性更新
05/31 23:31, 23F
05/31 23:31, , 24F
(一般production server不會隨便更新,所以很可能沒有),更
05/31 23:31, 24F
05/31 23:31, , 25F
要優先考慮各項service的vulnerabilities
05/31 23:31, 25F
嗯,這台server incoming只有開 ssh跟80 nginx 我的版本是1.6.0 目前看來是沒在名單內 heartbleed的話,剛看是沒開啟ssl服務 這下又頭痛了,不過還是感謝你幫忙過瀘掉一些可能性:D 這邊偷自介一下 因為小弟只是個程式設計師 system engineer的知識有限 還請多多指教... ※ 編輯: dlikeayu (1.34.4.90), 06/01/2014 02:13:43 ※ dlikeayu:轉錄至看板 Web_Design 06/01 02:17
06/01 03:40, , 26F
其實你可以問問AWS有沒有詳細點資訊就是
06/01 03:40, 26F
06/01 09:46, , 27F
你有ssh,但沒開ssl?你要先確定你的ssh不是用openssl或者
06/01 09:46, 27F
06/01 09:46, , 28F
版本不在中槍的那些版本.
06/01 09:46, 28F
06/01 09:46, , 29F
ssl的後續稱為TLS,只是library延用ssl舊名
06/01 09:46, 29F
06/01 09:53, , 30F
自問自補:剛才查了一下ubuntu 12.04的ssh的dependency,發
06/01 09:53, 30F
06/01 09:54, , 31F
現它和openssl都是依賴libssl,所以看來ssh在linux的實作是
06/01 09:54, 31F
06/01 09:58, , 32F
直接依賴更底層的libssl,建議原po檢查你系統的ssh依賴關係
06/01 09:58, 32F
06/01 09:59, , 33F
heartbleed出包的是openssl而非libssl,所以在前述相依狀況
06/01 09:59, 33F
06/01 09:59, , 34F
下應該未影響ssh,不過若openssl是https所依賴,若版本有問
06/01 09:59, 34F
06/01 10:00, , 35F
題還是一定要換,因為仍然可透過heartbleed攻擊得知server
06/01 10:00, 35F
06/01 10:00, , 36F
的機密資料(當然可能包括你的key)
06/01 10:00, 36F
06/01 10:04, , 37F
另外所有web server(nginx)的plugin或extension,只要是執
06/01 10:04, 37F
06/01 10:04, , 38F
行動態網頁會動用到的,都必須做安全漏洞檢查(到套件官網查
06/01 10:04, 38F
06/01 10:05, , 39F
是否有安全漏洞,需要更新或更版)
06/01 10:05, 39F
06/01 12:46, , 40F
就算用openssl ssh還是沒heartbleed問題...
06/01 12:46, 40F
06/01 12:46, , 41F
SSH並沒有heartbeat功能好嗎
06/01 12:46, 41F
06/01 12:47, , 42F
SSH只用了ssl中的加密函式而已
06/01 12:47, 42F
06/01 13:04, , 43F
樓上,我不是有自問自補了嗎?
06/01 13:04, 43F
06/01 13:07, , 44F
另外會不會中heartbleed,主要是看相依性以及入侵管道,倒和
06/01 13:07, 44F
06/01 13:08, , 45F
ssh本身功能範圍不見得有關.顧名思義漏洞和後門本來就不在
06/01 13:08, 45F
06/01 13:08, , 46F
原設計內,單純是實作疏失所造成,不是走normal path
06/01 13:08, 46F
06/01 17:44, , 47F
SSH是用22 port嗎?是的話你也太大膽了,佩服佩服。
06/01 17:44, 47F
06/01 18:39, , 48F
heartbleed是因為heartbeat實作疏失導致
06/01 18:39, 48F
06/01 18:40, , 49F
問題SSH根本沒heartbeat這功能要從哪疏失?
06/01 18:40, 49F
06/01 18:41, , 50F
同樣1.0(含)以前的openssl也因為沒heartbeat這功能
06/01 18:41, 50F
06/01 18:41, , 51F
所以也根本完全免疫
06/01 18:41, 51F
06/01 19:13, , 52F
我說了要看相依性和入侵路徑,所以目前linux以相依性看,ssh
06/01 19:13, 52F
06/01 19:14, , 53F
沒依賴openssl,就算有相依,還要看入侵路徑(這個要看source
06/01 19:14, 53F
06/01 19:14, , 54F
code,不過既然沒相依就不需要看,而且不是專業者也看沒有)
06/01 19:14, 54F
06/01 19:15, , 55F
有相依性代表有叫用某library的部分功能,當叫用的這部分功
06/01 19:15, 55F
06/01 19:16, , 56F
能有漏洞,叫用者就會受影響,即使受影響也要看這漏洞是否能
06/01 19:16, 56F
06/01 19:16, , 57F
被外部駭客運用.這都不是一般人能分析的,最好的方法就是一
06/01 19:16, 57F
06/01 19:17, , 58F
但有相依性就修正或更新才是上策.另外我前面有提,ssh沒用
06/01 19:17, 58F
06/01 19:17, , 59F
到openssl,但https大概都會用到,所以只要有網站用https網
06/01 19:17, 59F
06/01 19:18, , 60F
址,就要檢查openssl版本
06/01 19:18, 60F
06/01 19:33, , 61F
關於 ssh,ssl,heartbleed http://ppt.cc/VkSg 這篇講得簡
06/01 19:33, 61F
06/01 19:34, , 62F
單明瞭,然後我更正我最面的話,ssh確實沒架在ssl之上,它們
06/01 19:34, 62F
06/01 19:35, , 63F
只是共用加解密功能(所以萬一漏洞出在這部分的程式,就可能
06/01 19:35, 63F
06/01 19:35, , 64F
受影響,不過這次的heartbleed出問題的部分,沒有被openssh
06/01 19:35, 64F
06/01 19:36, , 65F
叫用,至於我Ubuntu上的ssh,是連openssl都沒相依)
06/01 19:36, 65F
06/02 10:10, , 66F
第7點的話,那應該是DDos, 對方看到的不會是你的server ip
06/02 10:10, 66F
06/02 10:10, , 67F
06/02 10:10, 67F
06/02 10:13, , 68F
你不應該只查server ,看看你有哪些process在run 吧
06/02 10:13, 68F
06/04 11:14, , 69F
看PROCESS通成可以看出一些端倪 可是那也要有經驗
06/04 11:14, 69F
06/04 11:15, , 70F
真的都找不出來的話 資料備份 準備重做吧...
06/04 11:15, 70F
更多 dlikeayu 的文章
文章代碼(AID): #1JYOm-Eq (Linux)