[問題] 網站被當Dos攻擊的跳台

作者dlikeayu (太陽拳vs野球拳)

看板Linux

標題[問題] 網站被當Dos攻擊的跳台

時間Sat May 31 16:00:52 2014

這幾天收到AWS的通知說我的EC2 Instance 去攻擊別人說我在05/30中午, 05/31早上這兩天攻擊別人除了攻擊別人的80port 也有攻擊其它的port 我查了幾個log nginx/access.log nginx/error.log syslog auth.log 因為網站上有架很多網站然後透過nginx來做虛擬伺服器目前有以下幾個疑點 1.wordpress 因為先前有傳出xmlrpc的漏洞攻擊有架wordpress會被當僵屍來攻擊別人在30號時我查了跟xmlrpc.php有關的請求 log裏只有在19號跟25號有請求過請求數也才11個在30號時我從wordpress的設定、function code、跟nginx去阻擋一切有關 xmlrpc請求的服務但是在31號早上時還是收到警告，說我們還在攻擊別人 2.ssh 因為原本是使用Key pair來登入vps port也沒改過去在查auth.log也的確有很多的hack想要試探登入但沒有被登入的紀錄(我也知道真的被登入也早被洗掉了= =) 在30號收到通知後我去把port改掉想說要是真的是駭入又要有key pair又要猜port 應該沒這麼容易吧？但31號...嗯 3.被我們攻擊的伺服器ip 我去cat |grep log都沒查到我們有去攻擊aws所說的ip 4.magento 在30號前幾天，我們測試用的PHP套件magento 我用後台做了線上更新而不是用下載回來的package去覆蓋升級另外，此套件我們的後台帳密設的還蠻簡單的(因為測試用) 5. cat xxx.log | grep ooo 我查了aws所說的攻擊時間點附近的log 都沒看到什麼異常 6.netstat -ntu | awk xxxxxxx 有下這指令看有什麼異常的傳輸但是hack發起的時間點又不是一直持續的所以我下這指令時，server並沒有在攻擊別人也查不出個所以然... 7.利用Xss來做Dos? 最後有想到是不是這個可能目前是想到wordpress跟magento 可能更新時被人植入後門再透過這後門來做Dos攻擊別人另外magento要是後台被登入的話 hack也可以從後台去更改html code 以上目前就想到這些不知道還有哪些地方需要加強防範或是有什麼指令方法可以更明確的查到我們到底是怎麼去攻擊別人的紀錄還麻煩請教一下 -- 標題 Re: [問卦] 第一次約伊湄出門該去哪裡用餐?

推 xyz4594:我比較想上任立渝我倒是還沒玩過氣象主播01/18 01:51

-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.91.157 ※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1401523262.A.3B4.html ※ dlikeayu:轉錄至看板 MIS 05/31 16:06

→ dododavid006:關於第2點其實port不用猜啊 nmap掃下就知道了www 05/31 18:29

→ dododavid006:建議是先確定時間點吧把相關的記錄清查過 05/31 18:31

→ dododavid006:這樣才能確定是怎麼攻擊的 05/31 18:32

AWS只有寄信來說哪個時間點然後哪個IP哪個Port被我們攻擊其它像把我們當白痴一樣也沒提細節實在是很難找...

→ bitlife:通常hacker只有植入木馬那次才需要入侵系統,植好木馬你每 05/31 19:01

→ bitlife:次重開機都會幫他跑攻擊服務.若確定被入侵,從源頭重灌有時 05/31 19:02

→ bitlife:是必要的.全系統備份可能都帶有木馬.你目前的狀況是無法確 05/31 19:03

→ bitlife:認(都是別人告知),既然頻率很高,守株查兔定時檢查系統是否 05/31 19:04

→ bitlife:有不明對外站連線(最好就是被告知DOS的攻擊對象) 05/31 19:05

這前提是真的被ssh登入了，但目前沒查到被例外登入就是所以只有可能是被XSS或是更新套件時才被植入主要還是希望有更多細節或是高高手提供方法讓小弟去找出細節來... ※ 編輯: dlikeayu (1.34.4.90), 05/31/2014 22:52:58

→ bitlife:植入木馬不一定走ssh,只要任何一個對外有開port接受連入的 05/31 23:03

→ bitlife:service有漏洞能讓遠端執行指令就是入侵的門戶,這個只能檢 05/31 23:05

→ bitlife:查你用的service有沒有vulnerability沒有更新或修正的 05/31 23:06

→ bitlife:例如:http://nginx.org/en/security_advisories.html 05/31 23:07

→ bitlife:我剛看了一下第一個vulnerability,時間很新,程度是嚴重等 05/31 23:12

→ bitlife:級,又是惡名昭彰的buffer over/underflow 來做到入侵者設 05/31 23:13

→ bitlife:計的code execution,這是很可能的入侵管道,如果你沒修這個 05/31 23:14

→ bitlife:新出沒多久的漏洞,那就趕快修一下,其它的major一定要修,後 05/31 23:15

→ bitlife:面的如果advisory裏有提到code execution的也都要修.然後 05/31 23:15

→ bitlife:每個有對外服務的service (如ssh)或plug-in(如php等)都要 05/31 23:16

→ bitlife:類似處理 05/31 23:16

php因為我是用nginx再走unix socket 所以真要進來也只有port 80了 ssh authorized_keys也確認只有我的pub key 使用者沒開密碼

→ bitlife:另外就是最近很紅的heartbleed,看看你的版本有沒有中標? 05/31 23:17

→ bitlife:從上述漏洞入侵的,log一定沒東西,log就像大門的攝影機,但 05/31 23:20

→ bitlife:小偷是挖密道進來的 05/31 23:20

→ bitlife:忘了講如果你的系統沒有隨時接收distribution的安全性更新 05/31 23:31

→ bitlife:(一般production server不會隨便更新,所以很可能沒有),更 05/31 23:31

→ bitlife:要優先考慮各項service的vulnerabilities 05/31 23:31

嗯，這台server incoming只有開 ssh跟80 nginx 我的版本是1.6.0 目前看來是沒在名單內 heartbleed的話，剛看是沒開啟ssl服務這下又頭痛了，不過還是感謝你幫忙過瀘掉一些可能性:D 這邊偷自介一下因為小弟只是個程式設計師 system engineer的知識有限還請多多指教... ※ 編輯: dlikeayu (1.34.4.90), 06/01/2014 02:13:43 ※ dlikeayu:轉錄至看板 Web_Design 06/01 02:17

→ danny8376:其實你可以問問AWS有沒有詳細點資訊就是 06/01 03:40

→ bitlife:你有ssh,但沒開ssl？你要先確定你的ssh不是用openssl或者 06/01 09:46

→ bitlife:版本不在中槍的那些版本. 06/01 09:46

→ bitlife:ssl的後續稱為TLS,只是library延用ssl舊名 06/01 09:46

→ bitlife:自問自補:剛才查了一下ubuntu 12.04的ssh的dependency,發 06/01 09:53

→ bitlife:現它和openssl都是依賴libssl,所以看來ssh在linux的實作是 06/01 09:54

推 bitlife:直接依賴更底層的libssl,建議原po檢查你系統的ssh依賴關係 06/01 09:58

→ bitlife:heartbleed出包的是openssl而非libssl,所以在前述相依狀況 06/01 09:59

→ bitlife:下應該未影響ssh,不過若openssl是https所依賴,若版本有問 06/01 09:59

→ bitlife:題還是一定要換,因為仍然可透過heartbleed攻擊得知server 06/01 10:00

→ bitlife:的機密資料(當然可能包括你的key) 06/01 10:00

→ bitlife:另外所有web server(nginx)的plugin或extension,只要是執 06/01 10:04

→ bitlife:行動態網頁會動用到的,都必須做安全漏洞檢查(到套件官網查 06/01 10:04

→ bitlife:是否有安全漏洞,需要更新或更版) 06/01 10:05

→ danny8376:就算用openssl ssh還是沒heartbleed問題... 06/01 12:46

→ danny8376:SSH並沒有heartbeat功能好嗎 06/01 12:46

→ danny8376:SSH只用了ssl中的加密函式而已 06/01 12:47

→ bitlife:樓上,我不是有自問自補了嗎? 06/01 13:04

→ bitlife:另外會不會中heartbleed,主要是看相依性以及入侵管道,倒和 06/01 13:07

→ bitlife:ssh本身功能範圍不見得有關.顧名思義漏洞和後門本來就不在 06/01 13:08

→ bitlife:原設計內,單純是實作疏失所造成,不是走normal path 06/01 13:08

推 Debian:SSH是用22 port嗎？是的話你也太大膽了，佩服佩服。 06/01 17:44

→ danny8376:heartbleed是因為heartbeat實作疏失導致 06/01 18:39

→ danny8376:問題SSH根本沒heartbeat這功能要從哪疏失? 06/01 18:40

→ danny8376:同樣1.0(含)以前的openssl也因為沒heartbeat這功能 06/01 18:41

→ danny8376:所以也根本完全免疫 06/01 18:41

→ bitlife:我說了要看相依性和入侵路徑,所以目前linux以相依性看,ssh 06/01 19:13

→ bitlife:沒依賴openssl,就算有相依,還要看入侵路徑(這個要看source 06/01 19:14

→ bitlife:code,不過既然沒相依就不需要看,而且不是專業者也看沒有) 06/01 19:14

→ bitlife:有相依性代表有叫用某library的部分功能,當叫用的這部分功 06/01 19:15

→ bitlife:能有漏洞,叫用者就會受影響,即使受影響也要看這漏洞是否能 06/01 19:16

→ bitlife:被外部駭客運用.這都不是一般人能分析的,最好的方法就是一 06/01 19:16

→ bitlife:但有相依性就修正或更新才是上策.另外我前面有提,ssh沒用 06/01 19:17

→ bitlife:到openssl,但https大概都會用到,所以只要有網站用https網 06/01 19:17

→ bitlife:址,就要檢查openssl版本 06/01 19:18

→ bitlife:關於 ssh,ssl,heartbleed http://ppt.cc/VkSg 這篇講得簡 06/01 19:33

→ bitlife:單明瞭,然後我更正我最面的話,ssh確實沒架在ssl之上,它們 06/01 19:34

→ bitlife:只是共用加解密功能(所以萬一漏洞出在這部分的程式,就可能 06/01 19:35

→ bitlife:受影響,不過這次的heartbleed出問題的部分,沒有被openssh 06/01 19:35

→ bitlife:叫用,至於我Ubuntu上的ssh,是連openssl都沒相依) 06/01 19:36

推 drkkimo:第7點的話,那應該是DDos, 對方看到的不會是你的server ip 06/02 10:10

→ drkkimo:吧 06/02 10:10

→ drkkimo:你不應該只查server ,看看你有哪些process在run 吧 06/02 10:13

推 chang0206:看PROCESS通成可以看出一些端倪可是那也要有經驗 06/04 11:14

→ chang0206:真的都找不出來的話資料備份準備重做吧... 06/04 11:15