[問題] 網站被當Dos攻擊的跳台
這幾天收到AWS的通知
說我的EC2 Instance 去攻擊別人
說我在05/30中午, 05/31早上這兩天攻擊別人
除了攻擊別人的80port 也有攻擊其它的port
我查了幾個log
nginx/access.log
nginx/error.log
syslog
auth.log
因為網站上有架很多網站
然後透過nginx來做虛擬伺服器
目前有以下幾個疑點
1.wordpress
因為先前有傳出xmlrpc的漏洞攻擊
有架wordpress會被當僵屍來攻擊別人
在30號時我查了跟xmlrpc.php有關的請求
log裏只有在19號跟25號有請求過
請求數也才11個
在30號時我從wordpress的設定、function code、跟nginx去阻擋一切有關
xmlrpc請求的服務
但是在31號早上時還是收到警告,說我們還在攻擊別人
2.ssh
因為原本是使用Key pair來登入vps
port也沒改
過去在查auth.log也的確有很多的hack想要試探登入
但沒有被登入的紀錄(我也知道真的被登入也早被洗掉了= =)
在30號收到通知後
我去把port改掉
想說要是真的是駭入
又要有key pair又要猜port
應該沒這麼容易吧?
但31號...嗯
3.被我們攻擊的伺服器ip
我去cat |grep log都沒查到我們有去攻擊aws所說的ip
4.magento
在30號前幾天,我們測試用的PHP套件magento
我用後台做了線上更新
而不是用下載回來的package去覆蓋升級
另外,此套件我們的後台帳密設的還蠻簡單的(因為測試用)
5. cat xxx.log | grep ooo
我查了aws所說的攻擊時間點附近的log
都沒看到什麼異常
6.netstat -ntu | awk xxxxxxx
有下這指令看有什麼異常的傳輸
但是hack發起的時間點又不是一直持續的
所以我下這指令時,server並沒有在攻擊別人
也查不出個所以然...
7.利用Xss來做Dos?
最後有想到是不是這個可能
目前是想到wordpress跟magento
可能更新時被人植入後門
再透過這後門來做Dos攻擊別人
另外magento要是後台被登入的話
hack也可以從後台去更改html code
以上
目前就想到這些
不知道還有哪些地方需要加強防範
或是有什麼指令方法可以更明確的查到我們到底是怎麼去攻擊別人的紀錄
還麻煩請教一下
--
標題 Re: [問卦] 第一次約伊湄出門該去哪裡用餐?
推
01/18 01:51,
01/18 01:51
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.91.157
※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1401523262.A.3B4.html
※ dlikeayu:轉錄至看板 MIS 05/31 16:06
→
05/31 18:29, , 1F
05/31 18:29, 1F
→
05/31 18:31, , 2F
05/31 18:31, 2F
→
05/31 18:32, , 3F
05/31 18:32, 3F
AWS只有寄信來說哪個時間點
然後哪個IP哪個Port被我們攻擊
其它像把我們當白痴一樣也沒提細節
實在是很難找...
→
05/31 19:01, , 4F
05/31 19:01, 4F
→
05/31 19:02, , 5F
05/31 19:02, 5F
→
05/31 19:03, , 6F
05/31 19:03, 6F
→
05/31 19:04, , 7F
05/31 19:04, 7F
→
05/31 19:05, , 8F
05/31 19:05, 8F
這前提是真的被ssh登入了,但目前沒查到被例外登入就是
所以只有可能是被XSS或是更新套件時才被植入
主要還是希望有更多細節
或是高高手提供方法讓小弟去找出細節來...
※ 編輯: dlikeayu (1.34.4.90), 05/31/2014 22:52:58
→
05/31 23:03, , 9F
05/31 23:03, 9F
→
05/31 23:05, , 10F
05/31 23:05, 10F
→
05/31 23:06, , 11F
05/31 23:06, 11F
→
05/31 23:07, , 12F
05/31 23:07, 12F
→
05/31 23:12, , 13F
05/31 23:12, 13F
→
05/31 23:13, , 14F
05/31 23:13, 14F
→
05/31 23:14, , 15F
05/31 23:14, 15F
→
05/31 23:15, , 16F
05/31 23:15, 16F
→
05/31 23:15, , 17F
05/31 23:15, 17F
→
05/31 23:16, , 18F
05/31 23:16, 18F
→
05/31 23:16, , 19F
05/31 23:16, 19F
php因為我是用nginx再走unix socket
所以真要進來也只有port 80了
ssh authorized_keys也確認只有我的pub key
使用者沒開密碼
→
05/31 23:17, , 20F
05/31 23:17, 20F
→
05/31 23:20, , 21F
05/31 23:20, 21F
→
05/31 23:20, , 22F
05/31 23:20, 22F
→
05/31 23:31, , 23F
05/31 23:31, 23F
→
05/31 23:31, , 24F
05/31 23:31, 24F
→
05/31 23:31, , 25F
05/31 23:31, 25F
嗯,這台server incoming只有開 ssh跟80
nginx 我的版本是1.6.0
目前看來是沒在名單內
heartbleed的話,剛看是沒開啟ssl服務
這下又頭痛了,不過還是感謝你幫忙過瀘掉一些可能性:D
這邊偷自介一下
因為小弟只是個程式設計師
system engineer的知識有限
還請多多指教...
※ 編輯: dlikeayu (1.34.4.90), 06/01/2014 02:13:43
※ dlikeayu:轉錄至看板 Web_Design 06/01 02:17
→
06/01 03:40, , 26F
06/01 03:40, 26F
→
06/01 09:46, , 27F
06/01 09:46, 27F
→
06/01 09:46, , 28F
06/01 09:46, 28F
→
06/01 09:46, , 29F
06/01 09:46, 29F
→
06/01 09:53, , 30F
06/01 09:53, 30F
→
06/01 09:54, , 31F
06/01 09:54, 31F
推
06/01 09:58, , 32F
06/01 09:58, 32F
→
06/01 09:59, , 33F
06/01 09:59, 33F
→
06/01 09:59, , 34F
06/01 09:59, 34F
→
06/01 10:00, , 35F
06/01 10:00, 35F
→
06/01 10:00, , 36F
06/01 10:00, 36F
→
06/01 10:04, , 37F
06/01 10:04, 37F
→
06/01 10:04, , 38F
06/01 10:04, 38F
→
06/01 10:05, , 39F
06/01 10:05, 39F
→
06/01 12:46, , 40F
06/01 12:46, 40F
→
06/01 12:46, , 41F
06/01 12:46, 41F
→
06/01 12:47, , 42F
06/01 12:47, 42F
→
06/01 13:04, , 43F
06/01 13:04, 43F
→
06/01 13:07, , 44F
06/01 13:07, 44F
→
06/01 13:08, , 45F
06/01 13:08, 45F
→
06/01 13:08, , 46F
06/01 13:08, 46F
推
06/01 17:44, , 47F
06/01 17:44, 47F
→
06/01 18:39, , 48F
06/01 18:39, 48F
→
06/01 18:40, , 49F
06/01 18:40, 49F
→
06/01 18:41, , 50F
06/01 18:41, 50F
→
06/01 18:41, , 51F
06/01 18:41, 51F
→
06/01 19:13, , 52F
06/01 19:13, 52F
→
06/01 19:14, , 53F
06/01 19:14, 53F
→
06/01 19:14, , 54F
06/01 19:14, 54F
→
06/01 19:15, , 55F
06/01 19:15, 55F
→
06/01 19:16, , 56F
06/01 19:16, 56F
→
06/01 19:16, , 57F
06/01 19:16, 57F
→
06/01 19:17, , 58F
06/01 19:17, 58F
→
06/01 19:17, , 59F
06/01 19:17, 59F
→
06/01 19:18, , 60F
06/01 19:18, 60F
→
06/01 19:33, , 61F
06/01 19:33, 61F
→
06/01 19:34, , 62F
06/01 19:34, 62F
→
06/01 19:35, , 63F
06/01 19:35, 63F
→
06/01 19:35, , 64F
06/01 19:35, 64F
→
06/01 19:36, , 65F
06/01 19:36, 65F
推
06/02 10:10, , 66F
06/02 10:10, 66F
→
06/02 10:10, , 67F
06/02 10:10, 67F
→
06/02 10:13, , 68F
06/02 10:13, 68F
推
06/04 11:14, , 69F
06/04 11:14, 69F
→
06/04 11:15, , 70F
06/04 11:15, 70F