Découvrez comment mon serveur est utilisé pour les attaques DDO
J'ai reçu un email d'Amazon que mon serveur Amazon EC2 est utilisé pour les attaques DDO et ils ont fermé tous les ports sauf ssh. Ceci est tragique pour moi mais je n'ai pas pu savoir comment et où cette attaque est en cours d'exécution. Je ne trouve rien dans les emplois cron. J'utilise des paires de clés SSH pour vous connecter au serveur, il est donc improbable que quelqu'un puisse avoir détourné le compte root. J'ai eu FTP sur le serveur mais j'ai changé en SFTP maintenant. Pourrait-il être un PHP page étant utilisé pour cela et comment puis-je trouver la source? Est-il possible que quelqu'un ait utilisé un kit racine sans l'accès à l'utilisateur racine?
Il se pourrait que quelqu'un utilise effectivement votre instance par rootkit ou par des scripts malveillants PHP. Votre système est compromis maintenant. Nuke it it d'orbit et restaurez à partir d'un état de confiance (sauvegarde).
Assurez-vous de maintenir votre serveur mis à jour et d'utiliser des haubans de mot de passe long et complexes. Interdire la connexion de la racine (autorisez uniquement la connexion par la touche par exemple). Installez un HIDS (système de détection d'intrusion basé sur l'hôte) et une racine rootkithunter. Ossec est un bon choix sur Linux.
Votre serveur a probablement été compromis par une vulnérabilité sur le Web et un script PHP a été téléchargé sur celui-ci qui interagit avec les ordres de l'attaquant.
Vous devriez suivre ces étapes pour vous assurer de ne pas être piraté à nouveau:
- Vérifiez les journaux du serveur et identifiez le comportement d'attaquant et votre vulnérabilité.
- Essayez de trouver le script PHP malveillant sur votre serveur, de faire ce transfert tous vos fichiers localy et de comparer avec une vieille sauvegarde. Il devrait vous montrer le fichier modifié/nouveau.
- Enregistrez le script malveillant, il utilisait pour contenir l'adresse Company & Control IP afin que vous puissiez l'envoyer à la police.
- Restaurer le site Web à partir de zéro, n'utilisez pas de scrupules de sauvegarde récente ou de réutilisation de site compromis. Les attaquants pourraient insérer un porte-backdoor dessus et vous ouvririez à nouveau la porte.
La chose la plus importante est d'identifier la manière dont ils compromettaient votre site, si vous le restaez de la même vulnérabilité, le bot d'attaquant scannera à nouveau votre site et vous aurez le même problème.
Gardez également vos services mis à jour, utilisez des mots de passe longs et complexes, etc.
Salutations.
Je voudrais essayer de déterminer l'étendue de la pénétration. Il peut se limiter à un certain type de script sur votre site, ils ont pu abuser de créer une attaque DDOS. Il pas, il peut se limiter à un script qu'ils ont pu télécharger que exécute une action mauvaise.
Si vous avez une bonne configuration connue et peut déterminer qu'ils n'ont pas échappé aux limites de vos moteurs de script (et vous avez eu votre configuration des moteurs de script en toute sécurité afin qu'ils puissent ne pas modifier le système lui-même), alors vous devriez être autorisé à restaurer à une bonne configuration connue de tout ce que les moteurs de script ont accès.
Si vous ne pouvez pas dire avec certitude que vos moteurs de script sont configurés correctement ou s'il semble qu'ils ont effectivement obtenu un accès direct à la boîte à l'extérieur du moteur de script, alors il n'y a pas des mesures pour contenir ce qu'ils auraient pu caché et vous devrait nuke en orbite comme suggéré plus tôt.
L'astuce est que vous ne voulez pas laisser la moindre chance d'une réinfection qui est très probable si elles ont obtenu un accès à faible niveau, car il rend facile de laisser des choses en apparence anodin derrière qui permettra réinfection plus facilement.
Exploitation d'une faiblesse dans une application locale, peut-être couplée à un exloit de noyau racine est la voie probable. Cela irait quelque chose comme ça.
1) Hacker exploite une faiblesse dans A PHP qui les permet de créer des fichiers appartenant au serveur Web, puis exécutez ce code.
2) Leur code malveillant téléchargerait un script permettant d'accéder plus facilement aux commandes d'exécution. Le téléchargement d'un script Perl vers/dev/shm à l'aide de Wget est assez courant.
3) Le script PERL se connecterait à un serveur distant pour former un tunnel ou accepterait des connexions entrantes, de sorte que les commandes arbitraires puissent être plus facilement plus facilement.
4) Code source C pour un exploit racine serait installé, compilé et exécuté.
5) Si le succès de l'utilisateur aurait désormais des privilèges root. À ce stade, le pare-feu peut être désactivé, la configuration d'IPTABLES par défaut modifiée et les porte-gouttes tels qu'un SSH modifié pourraient être installés pour donner accès malgré les paramètres d'hôte.allond etc.
Ceci ne raye que la surface, mais il existe des outils pouvant aider à détecter l'intrusion et à des étapes que vous pourriez prendre pour durcir votre configuration, telles que la prévention des connexions sortantes à une adresse IP arbitraire au pare-feu (IPTABLES plutôt que le pare-feu externe de l'EC2), sans avoir un C compilateur dans l'endroit habituel ou du tout, et des outils mobiles tels que Wget, bien qu'un script puisse obtenir la même chose, c'est simplement une nuisance pour le pirate informatique. Garder un enregistrement de processus de fonctionnement fréquemment (toutes les 5 minutes ou moins) peut aider à l'analyse post-mortem, comme cela peut les journaux Web. Un pirate informatique sera très susceptible de créer des fichiers ou des répertoires dans/dev/SHM ou/TMP et un utilitaire qui surveillance pour des entrées inattendues pourra attraper des intrusions tôt. Verrouillage de votre serveur Pour permettre l'accès uniquement à vous-même si des articles inattendus sont trouvés, en particulier dans/Dev/SHM (où il n'y a généralement rien) ne serait pas excessif.
Le déploiement de mises à jour du noyau est fortement recommandé car il y a eu beaucoup d'exploits d'escalade de privilège sous Linux.