Mam uruchomiony serwer Ubuntu. Dzisiaj dowiedziałem się, że serwer został zhakowany i jest używany do DDoS poprzez raport o nadużyciach Amazon.
Na serwerze znalazłem następujące rzeczy.
Następujące podejrzane pliki znajdują się na serwerze.
-rw-r--r-- 1 www-data www-data 759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data 1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data 5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data 1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data 5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data 119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data 73 Feb 1 01:01 conf.n
Uruchomiono następujący proces
www-data 8292 10629 0 Jan28 ? 00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data 8293 8292 0 Jan28 ? 00:00:00 /bin/bash -i
www-data 8293 8292 0 Jan28 ? 00:00:00 ./huizhen
Pobiegłem clamav
i usunięte /tmp/huizhen
i /tmp/sishen
pliki, ale procesy były nadal działa weiwei.pl
i ./huizhen
tak Zabiłem je ręcznie.
Na serwerze działają następujące usługi.
- SSH - Nie używa domyślnego portu 22, tylko uwierzytelnianie klucza
- MongoDB - Port jest otwarty dla określonej grupy zabezpieczeń
- Pamięć podręczna - port jest otwarty dla określonej grupy zabezpieczeń
- NodeJS - Port jest otwarty dla określonej grupy zabezpieczeń
- Tomcat - porty 8080/8443 są publiczne dla usługi sieciowej axis2 i solr
Zakładam, że haker dostał się przez lukę w zabezpieczeniach tomcat / axis2 / solr, ponieważ proces działa przy użyciu tej samej grupy użytkowników co tomcat.
Na razie zablokowałem porty 8080/8443 i zastąpię serwer nowym. Tomcat będzie dostępny z innego serwera za pośrednictwem nginx. Zainstalowałem również poprawki bezpieczeństwa za pomocą aktualizacji nienadzorowanych .
Problem polega na tym, jak dowiedzieć się, w jaki sposób haker dostał się i umieścił trojany. Jakie inne kroki mogę podjąć, aby zwiększyć bezpieczeństwo.