推 xyz4594:我比較想上任立渝 我倒是還沒玩過氣象主播01/18 01:51
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.91.157
※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1401523262.A.3B4.html
※ dlikeayu:轉錄至看板 MIS 05/31 16:06
→ dododavid006:關於第2點 其實port不用猜啊 nmap掃下就知道了www 05/31 18:29
→ dododavid006:建議是先確定時間點吧 把相關的記錄清查過 05/31 18:31
→ dododavid006:這樣才能確定是怎麼攻擊的 05/31 18:32
AWS只有寄信來說哪個時間點
然後哪個IP哪個Port被我們攻擊
其它像把我們當白痴一樣也沒提細節
實在是很難找...
→ bitlife:通常hacker只有植入木馬那次才需要入侵系統,植好木馬你每 05/31 19:01
→ bitlife:次重開機都會幫他跑攻擊服務.若確定被入侵,從源頭重灌有時 05/31 19:02
→ bitlife:是必要的.全系統備份可能都帶有木馬.你目前的狀況是無法確 05/31 19:03
→ bitlife:認(都是別人告知),既然頻率很高,守株查兔定時檢查系統是否 05/31 19:04
→ bitlife:有不明對外站連線(最好就是被告知DOS的攻擊對象) 05/31 19:05
這前提是真的被ssh登入了,但目前沒查到被例外登入就是
所以只有可能是被XSS或是更新套件時才被植入
主要還是希望有更多細節
或是高高手提供方法讓小弟去找出細節來...
※ 編輯: dlikeayu (1.34.4.90), 05/31/2014 22:52:58
→ bitlife:植入木馬不一定走ssh,只要任何一個對外有開port接受連入的 05/31 23:03
→ bitlife:service有漏洞能讓遠端執行指令就是入侵的門戶,這個只能檢 05/31 23:05
→ bitlife:查你用的service有沒有vulnerability沒有更新或修正的 05/31 23:06
→ bitlife:我剛看了一下第一個vulnerability,時間很新,程度是嚴重等 05/31 23:12
→ bitlife:級,又是惡名昭彰的buffer over/underflow 來做到入侵者設 05/31 23:13
→ bitlife:計的code execution,這是很可能的入侵管道,如果你沒修這個 05/31 23:14
→ bitlife:新出沒多久的漏洞,那就趕快修一下,其它的major一定要修,後 05/31 23:15
→ bitlife:面的如果advisory裏有提到code execution的也都要修.然後 05/31 23:15
→ bitlife:每個有對外服務的service (如ssh)或plug-in(如php等)都要 05/31 23:16
→ bitlife:類似處理 05/31 23:16
php因為我是用nginx再走unix socket
所以真要進來也只有port 80了
ssh authorized_keys也確認只有我的pub key
使用者沒開密碼
→ bitlife:另外就是最近很紅的heartbleed,看看你的版本有沒有中標? 05/31 23:17
→ bitlife:從上述漏洞入侵的,log一定沒東西,log就像大門的攝影機,但 05/31 23:20
→ bitlife:小偷是挖密道進來的 05/31 23:20
→ bitlife:忘了講如果你的系統沒有隨時接收distribution的安全性更新 05/31 23:31
→ bitlife:(一般production server不會隨便更新,所以很可能沒有),更 05/31 23:31
→ bitlife:要優先考慮各項service的vulnerabilities 05/31 23:31
嗯,這台server incoming只有開 ssh跟80
nginx 我的版本是1.6.0
目前看來是沒在名單內
heartbleed的話,剛看是沒開啟ssl服務
這下又頭痛了,不過還是感謝你幫忙過瀘掉一些可能性:D
這邊偷自介一下
因為小弟只是個程式設計師
system engineer的知識有限
還請多多指教...
※ 編輯: dlikeayu (1.34.4.90), 06/01/2014 02:13:43
※ dlikeayu:轉錄至看板 Web_Design 06/01 02:17
→ danny8376:其實你可以問問AWS有沒有詳細點資訊就是 06/01 03:40
→ bitlife:你有ssh,但沒開ssl?你要先確定你的ssh不是用openssl或者 06/01 09:46
→ bitlife:版本不在中槍的那些版本. 06/01 09:46
→ bitlife:ssl的後續稱為TLS,只是library延用ssl舊名 06/01 09:46
→ bitlife:自問自補:剛才查了一下ubuntu 12.04的ssh的dependency,發 06/01 09:53
→ bitlife:現它和openssl都是依賴libssl,所以看來ssh在linux的實作是 06/01 09:54
推 bitlife:直接依賴更底層的libssl,建議原po檢查你系統的ssh依賴關係 06/01 09:58
→ bitlife:heartbleed出包的是openssl而非libssl,所以在前述相依狀況 06/01 09:59
→ bitlife:下應該未影響ssh,不過若openssl是https所依賴,若版本有問 06/01 09:59
→ bitlife:題還是一定要換,因為仍然可透過heartbleed攻擊得知server 06/01 10:00
→ bitlife:的機密資料(當然可能包括你的key) 06/01 10:00
→ bitlife:另外所有web server(nginx)的plugin或extension,只要是執 06/01 10:04
→ bitlife:行動態網頁會動用到的,都必須做安全漏洞檢查(到套件官網查 06/01 10:04
→ bitlife:是否有安全漏洞,需要更新或更版) 06/01 10:05
→ danny8376:就算用openssl ssh還是沒heartbleed問題... 06/01 12:46
→ danny8376:SSH並沒有heartbeat功能好嗎 06/01 12:46
→ danny8376:SSH只用了ssl中的加密函式而已 06/01 12:47
→ bitlife:樓上,我不是有自問自補了嗎? 06/01 13:04
→ bitlife:另外會不會中heartbleed,主要是看相依性以及入侵管道,倒和 06/01 13:07
→ bitlife:ssh本身功能範圍不見得有關.顧名思義漏洞和後門本來就不在 06/01 13:08
→ bitlife:原設計內,單純是實作疏失所造成,不是走normal path 06/01 13:08
推 Debian:SSH是用22 port嗎?是的話你也太大膽了,佩服佩服。 06/01 17:44
→ danny8376:heartbleed是因為heartbeat實作疏失導致 06/01 18:39
→ danny8376:問題SSH根本沒heartbeat這功能要從哪疏失? 06/01 18:40
→ danny8376:同樣1.0(含)以前的openssl也因為沒heartbeat這功能 06/01 18:41
→ danny8376:所以也根本完全免疫 06/01 18:41
→ bitlife:我說了要看相依性和入侵路徑,所以目前linux以相依性看,ssh 06/01 19:13
→ bitlife:沒依賴openssl,就算有相依,還要看入侵路徑(這個要看source 06/01 19:14
→ bitlife:code,不過既然沒相依就不需要看,而且不是專業者也看沒有) 06/01 19:14
→ bitlife:有相依性代表有叫用某library的部分功能,當叫用的這部分功 06/01 19:15
→ bitlife:能有漏洞,叫用者就會受影響,即使受影響也要看這漏洞是否能 06/01 19:16
→ bitlife:被外部駭客運用.這都不是一般人能分析的,最好的方法就是一 06/01 19:16
→ bitlife:但有相依性就修正或更新才是上策.另外我前面有提,ssh沒用 06/01 19:17
→ bitlife:到openssl,但https大概都會用到,所以只要有網站用https網 06/01 19:17
→ bitlife:址,就要檢查openssl版本 06/01 19:18
→ bitlife:單明瞭,然後我更正我最面的話,ssh確實沒架在ssl之上,它們 06/01 19:34
→ bitlife:只是共用加解密功能(所以萬一漏洞出在這部分的程式,就可能 06/01 19:35
→ bitlife:受影響,不過這次的heartbleed出問題的部分,沒有被openssh 06/01 19:35
→ bitlife:叫用,至於我Ubuntu上的ssh,是連openssl都沒相依) 06/01 19:36
推 drkkimo:第7點的話,那應該是DDos, 對方看到的不會是你的server ip 06/02 10:10
→ drkkimo:吧 06/02 10:10
→ drkkimo:你不應該只查server ,看看你有哪些process在run 吧 06/02 10:13
推 chang0206:看PROCESS通成可以看出一些端倪 可是那也要有經驗 06/04 11:14
→ chang0206:真的都找不出來的話 資料備份 準備重做吧... 06/04 11:15